From b8ce617b193b55d375218c6ce6bbaff3cbd9c68b Mon Sep 17 00:00:00 2001 From: rafi Date: Wed, 1 Jul 2026 10:56:57 +0200 Subject: [PATCH 01/16] feat: add compliance posture Signed-off-by: rafi --- cmd/devguard/main.go | 1 + controllers/compliance_posture_controller.go | 192 +++++++++++++ controllers/providers.go | 1 + ...d_compliance_frameworks_to_policies.up.sql | 19 ++ ...25000001_create_compliance_postures.up.sql | 47 ++++ database/models/compliance_posture_model.go | 96 +++++++ database/models/framework_control_model.go | 31 +++ database/models/vulnevent_model.go | 35 +++ .../compliance_posture_repository.go | 258 ++++++++++++++++++ database/repositories/providers.go | 1 + database/repositories/vulnevent_repository.go | 3 +- dtos/comilance_posture_dto.go | 68 +++++ dtos/dependency_vuln_dto.go | 2 + dtos/vulnevent_dto.go | 10 +- router/compliance_posture_router.go | 39 +++ router/org_router.go | 5 + router/project_router.go | 5 + router/providers.go | 1 + services/compliance_posture_service.go | 101 +++++++ services/providers.go | 1 + shared/common_interfaces.go | 17 ++ statemachine/dependency_vuln_statemachine.go | 7 + transformer/compliance_posture_transformer.go | 48 ++++ 23 files changed, 984 insertions(+), 4 deletions(-) create mode 100644 controllers/compliance_posture_controller.go create mode 100644 database/migrations/20260625000000_add_compliance_frameworks_to_policies.up.sql create mode 100644 database/migrations/20260625000001_create_compliance_postures.up.sql create mode 100644 database/models/compliance_posture_model.go create mode 100644 database/models/framework_control_model.go create mode 100644 database/repositories/compliance_posture_repository.go create mode 100644 dtos/comilance_posture_dto.go create mode 100644 router/compliance_posture_router.go create mode 100644 services/compliance_posture_service.go create mode 100644 transformer/compliance_posture_transformer.go diff --git a/cmd/devguard/main.go b/cmd/devguard/main.go index 1139c1359..c4a602f81 100644 --- a/cmd/devguard/main.go +++ b/cmd/devguard/main.go @@ -156,6 +156,7 @@ func main() { fx.Invoke(func(FalsePositiveRuleRouter router.VEXRuleRouter) {}), fx.Invoke(func(ExternalReferenceRouter router.ExternalReferenceRouter) {}), fx.Invoke(func(CrowdsourcedVexingRouter router.CrowdsourcedVexingRouter) {}), + fx.Invoke(func(CompliancePostureRouter router.CompliancePostureRouter) {}), fx.Invoke(func(lc fx.Lifecycle, encryptionService shared.DBEncryptionService) { lc.Append(fx.Hook{ OnStart: func(ctx context.Context) error { diff --git a/controllers/compliance_posture_controller.go b/controllers/compliance_posture_controller.go new file mode 100644 index 000000000..9baf17faf --- /dev/null +++ b/controllers/compliance_posture_controller.go @@ -0,0 +1,192 @@ +// Copyright (C) 2026 l3montree GmbH +// +// This program is free software: you can redistribute it and/or modify +// it under the terms of the GNU Affero General Public License as +// published by the Free Software Foundation, either version 3 of the +// License, or (at your option) any later version. +// +// This program is distributed in the hope that it will be useful, +// but WITHOUT ANY WARRANTY; without even the implied warranty of +// MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the +// GNU Affero General Public License for more details. +// +// You should have received a copy of the GNU Affero General Public License +// along with this program. If not, see . +package controllers + +import ( + "encoding/json" + + "github.com/google/uuid" + "github.com/l3montree-dev/devguard/database/models" + "github.com/l3montree-dev/devguard/dtos" + "github.com/l3montree-dev/devguard/shared" + "github.com/l3montree-dev/devguard/transformer" + "github.com/labstack/echo/v4" +) + +type CompliancePostureController struct { + CompliancePostureRepository shared.CompliancePostureRepository + CompliancePostureService shared.CompliancePostureService +} + +func NewCompliancePostureController(compliancePostureRepository shared.CompliancePostureRepository, compliancePostureService shared.CompliancePostureService) *CompliancePostureController { + return &CompliancePostureController{ + CompliancePostureRepository: compliancePostureRepository, + CompliancePostureService: compliancePostureService, + } +} + +func (c *CompliancePostureController) Read(ctx shared.Context) error { + frameworkControlID := ctx.Param("frameworkControlID") + if frameworkControlID == "" { + return echo.NewHTTPError(400, "frameworkControlID is required") + } + + var assetVersionName *string + var assetID *uuid.UUID + var projectID *uuid.UUID + orgID := shared.GetOrg(ctx).ID + project, err := shared.MaybeGetProject(ctx) + if err == nil { + projectID = &project.ID + asset, err := shared.MaybeGetAsset(ctx) + if err == nil { + assetID = &asset.ID + assetVersion, err := shared.MaybeGetAssetVersion(ctx) + if err == nil { + assetVersionName = &assetVersion.Name + } + } + } + + posture, err := c.CompliancePostureService.GetForControl(ctx.Request().Context(), nil, frameworkControlID, assetVersionName, assetID, projectID, orgID) + if err != nil { + return err + } + + return ctx.JSON(200, transformer.CompliancePostureToDTO(*posture)) +} + +func (c *CompliancePostureController) ListPaged(ctx shared.Context) error { + var assetVersionName *string + var assetID *uuid.UUID + var projectID *uuid.UUID + orgID := shared.GetOrg(ctx).ID + project, err := shared.MaybeGetProject(ctx) + if err == nil { + projectID = &project.ID + asset, err := shared.MaybeGetAsset(ctx) + if err == nil { + assetID = &asset.ID + assetVersion, err := shared.MaybeGetAssetVersion(ctx) + if err == nil { + assetVersionName = &assetVersion.Name + } + } + } + + pageInfo := shared.GetPageInfo(ctx) + search := ctx.QueryParam("search") + filter := shared.GetFilterQuery(ctx) + sort := shared.GetSortQuery(ctx) + + postures, err := c.CompliancePostureService.GetForAllControlsPaged(ctx.Request().Context(), nil, assetVersionName, assetID, projectID, orgID, pageInfo, search, filter, sort) + if err != nil { + return err + } + + return ctx.JSON(200, postures) +} + +func (c *CompliancePostureController) Stats(ctx shared.Context) error { + var assetVersionName *string + var assetID *uuid.UUID + var projectID *uuid.UUID + orgID := shared.GetOrg(ctx).ID + project, err := shared.MaybeGetProject(ctx) + if err == nil { + projectID = &project.ID + asset, err := shared.MaybeGetAsset(ctx) + if err == nil { + assetID = &asset.ID + assetVersion, err := shared.MaybeGetAssetVersion(ctx) + if err == nil { + assetVersionName = &assetVersion.Name + } + } + } + + stats, err := c.CompliancePostureService.GetStatsForAllControls(ctx.Request().Context(), nil, assetVersionName, assetID, projectID, orgID) + if err != nil { + return err + } + + return ctx.JSON(200, stats) +} + +func (c *CompliancePostureController) CreateEvent(ctx shared.Context) error { + + frameworkControlID := ctx.Param("frameworkControlID") + if frameworkControlID == "" { + return echo.NewHTTPError(400, "frameworkControlID is required") + } + + userID := shared.GetSession(ctx).GetUserID() + userAgent := ctx.Request().UserAgent() + + orgID := shared.GetOrg(ctx).ID + var projectID *uuid.UUID + var assetID *uuid.UUID + var assetVersionName *string + project, err := shared.MaybeGetProject(ctx) + if err == nil { + projectID = &project.ID + asset, err := shared.MaybeGetAsset(ctx) + if err == nil { + assetID = &asset.ID + assetVersion, err := shared.MaybeGetAssetVersion(ctx) + if err == nil { + assetVersionName = &assetVersion.Name + } + } + } + + var state struct { + Status string `json:"status"` + Justification *string `json:"justification"` + } + err = json.NewDecoder(ctx.Request().Body).Decode(&state) + if err != nil { + return echo.NewHTTPError(400, "invalid payload").WithInternal(err) + } + statusType := state.Status + err = models.CheckStatusType(statusType) + if err != nil { + return echo.NewHTTPError(400, "invalid state").WithInternal(err) + } + compliancePosture := models.CompliancePosture{ + FrameworkControlID: frameworkControlID, + OrgID: orgID, + ProjectID: projectID, + AssetID: assetID, + AssetVersionName: assetVersionName, + Vulnerability: models.Vulnerability{ + State: dtos.VulnStateOpen, + }, + } + + compliancePosture.ID = compliancePosture.CalculateHash() + + compliancePostureNew, err := c.CompliancePostureRepository.FindOrCreate(ctx.Request().Context(), nil, compliancePosture) + if err != nil { + return echo.NewHTTPError(500, "failed to find or create compliance posture").WithInternal(err) + } + + _, err = c.CompliancePostureService.UpdateCompliancePostureState(ctx.Request().Context(), nil, userID, compliancePostureNew, statusType, *state.Justification, "", &userAgent) + if err != nil { + return err + } + + return ctx.JSON(200, transformer.CompliancePostureToDTO(*compliancePostureNew)) +} diff --git a/controllers/providers.go b/controllers/providers.go index b7d5696cf..d79de8c6a 100644 --- a/controllers/providers.go +++ b/controllers/providers.go @@ -94,6 +94,7 @@ var ControllerModule = fx.Options( // Security & Compliance fx.Provide(NewCSAFController), fx.Provide(NewComplianceController), + fx.Provide(NewCompliancePostureController), fx.Provide(NewAttestationController), fx.Provide(NewInToToController), fx.Provide(NewPolicyController), diff --git a/database/migrations/20260625000000_add_compliance_frameworks_to_policies.up.sql b/database/migrations/20260625000000_add_compliance_frameworks_to_policies.up.sql new file mode 100644 index 000000000..58fdfe569 --- /dev/null +++ b/database/migrations/20260625000000_add_compliance_frameworks_to_policies.up.sql @@ -0,0 +1,19 @@ +CREATE TABLE IF NOT EXISTS public.frameworks_controls ( + framework_control_id text NOT NULL, + framework text NOT NULL DEFAULT '', + control_id text NOT NULL DEFAULT '', + + title text NOT NULL DEFAULT '', + description text NOT NULL DEFAULT '', + + created_at timestamp with time zone, + updated_at timestamp with time zone, + deleted_at timestamp with time zone +); + +ALTER TABLE ONLY public.frameworks_controls + ADD CONSTRAINT frameworks_controls_pkey PRIMARY KEY (framework_control_id); + +-- Ensure framework + control_id are unique +ALTER TABLE public.frameworks_controls + ADD CONSTRAINT frameworks_controls_framework_control_id_unique UNIQUE (framework, control_id); diff --git a/database/migrations/20260625000001_create_compliance_postures.up.sql b/database/migrations/20260625000001_create_compliance_postures.up.sql new file mode 100644 index 000000000..323926b5f --- /dev/null +++ b/database/migrations/20260625000001_create_compliance_postures.up.sql @@ -0,0 +1,47 @@ +ALTER TABLE public.vuln_events + ADD COLUMN IF NOT EXISTS compliance_posture_id uuid REFERENCES public.compliance_postures(id) ON DELETE CASCADE; + +-- Drop the old constraint and recreate it to also allow compliance_posture_id as a valid parent +ALTER TABLE public.vuln_events DROP CONSTRAINT IF EXISTS one_vuln_parent; +ALTER TABLE public.vuln_events ADD CONSTRAINT one_vuln_parent CHECK ( + (dependency_vuln_id IS NOT NULL)::int + + (license_risk_id IS NOT NULL)::int + + (first_party_vuln_id IS NOT NULL)::int + + (compliance_posture_id IS NOT NULL)::int = 1 +); + + + + +CREATE TABLE IF NOT EXISTS public.compliance_postures ( + id uuid NOT NULL, + message text, + state text DEFAULT 'open'::text NOT NULL, + last_detected timestamp with time zone DEFAULT now() NOT NULL, + ticket_id text, + ticket_url text, + manual_ticket_creation boolean DEFAULT false, + created_at timestamp with time zone, + updated_at timestamp with time zone, + deleted_at timestamp with time zone, + asset_version_name text, + asset_id uuid, + project_id uuid, + org_id uuid NOT NULL, + framework_control_id text NOT NULL +); + +ALTER TABLE ONLY public.compliance_postures + ADD CONSTRAINT compliance_postures_pkey PRIMARY KEY (id); + +ALTER TABLE ONLY public.compliance_postures + ADD CONSTRAINT fk_compliance_postures_control FOREIGN KEY (framework_control_id) REFERENCES public.frameworks_controls(framework_control_id) ON DELETE CASCADE; + +ALTER TABLE ONLY public.compliance_postures + ADD CONSTRAINT fk_compliance_postures_asset FOREIGN KEY (asset_id) REFERENCES public.assets(id) ON DELETE CASCADE; + +ALTER TABLE ONLY public.compliance_postures + ADD CONSTRAINT fk_compliance_postures_project FOREIGN KEY (project_id) REFERENCES public.projects(id) ON DELETE CASCADE; + +ALTER TABLE ONLY public.compliance_postures + ADD CONSTRAINT fk_compliance_postures_org FOREIGN KEY (org_id) REFERENCES public.organizations(id) ON DELETE CASCADE; diff --git a/database/models/compliance_posture_model.go b/database/models/compliance_posture_model.go new file mode 100644 index 000000000..d39f89553 --- /dev/null +++ b/database/models/compliance_posture_model.go @@ -0,0 +1,96 @@ +// Copyright (C) 2026 l3montree GmbH +// +// This program is free software: you can redistribute it and/or modify +// it under the terms of the GNU Affero General Public License as +// published by the Free Software Foundation, either version 3 of the +// License, or (at your option) any later version. +// +// This program is distributed in the hope that it will be useful, +// but WITHOUT ANY WARRANTY; without even the implied warranty of +// MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the +// GNU Affero General Public License for more details. +// +// You should have received a copy of the GNU Affero General Public License +// along with this program. If not, see . + +package models + +import ( + "fmt" + + "github.com/google/uuid" + "github.com/l3montree-dev/devguard/dtos" + "github.com/l3montree-dev/devguard/utils" + "gorm.io/gorm" +) + +type CompliancePosture struct { + Vulnerability + + FrameworkControlID string `json:"frameworkControlId" gorm:"type:text;not null;"` + FrameworkControl FrameworkControl `json:"frameworkControl" gorm:"foreignKey:FrameworkControlID;references:FrameworkControlID;constraint:OnDelete:CASCADE;"` + AssetVersionName *string `json:"assetVersionName" gorm:"type:text;"` + AssetVersion AssetVersion `json:"assetVersion" gorm:"foreignKey:AssetVersionName,AssetID;references:Name,AssetID;constraint:OnDelete:CASCADE;"` + + AssetID *uuid.UUID `json:"assetId" gorm:"type:uuid;"` + Asset Asset `json:"asset" gorm:"foreignKey:AssetID;references:ID;constraint:OnDelete:CASCADE;"` + ProjectID *uuid.UUID `json:"projectId" gorm:"type:uuid"` + Project Project `json:"project" gorm:"foreignKey:ProjectID;references:ID;constraint:OnDelete:CASCADE;"` + OrgID uuid.UUID `json:"orgId" gorm:"type:uuid;not null;"` + Org Org `json:"org" gorm:"foreignKey:OrgID;references:ID;constraint:OnDelete:CASCADE;"` + + Events []VulnEvent `json:"events" gorm:"foreignKey:CompliancePostureID;constraint:OnDelete:CASCADE;"` +} + +func (m CompliancePosture) GetAssetVersionName() string { + if m.AssetVersionName != nil { + return *m.AssetVersionName + } + return "" +} + +func (m CompliancePosture) AssetVersionIndependentHash() string { + s := fmt.Sprintf("%s:%s", m.FrameworkControlID, m.OrgID.String()) + if m.ProjectID != nil { + s = fmt.Sprintf("%s:%s", s, m.ProjectID.String()) + } + if m.AssetID != nil { + s = fmt.Sprintf("%s:%s", s, m.AssetID.String()) + } + return utils.HashString(s) +} + +func (m CompliancePosture) GetEvents() []VulnEvent { + return m.Events +} + +func (m CompliancePosture) GetArtifacts() []Artifact { + return nil +} + +func (m CompliancePosture) GetType() dtos.VulnType { + return dtos.VulnTypeCompliancePosture +} + +func (m CompliancePosture) TableName() string { + return "compliance_postures" +} + +func (m CompliancePosture) CalculateHash() uuid.UUID { + s := fmt.Sprintf("%s:%s", m.FrameworkControlID, m.OrgID.String()) + if m.ProjectID != nil { + s = fmt.Sprintf("%s:%s", s, m.ProjectID.String()) + } + if m.AssetID != nil { + s = fmt.Sprintf("%s:%s", s, m.AssetID.String()) + } + if m.AssetVersionName != nil { + s = fmt.Sprintf("%s:%s", s, *m.AssetVersionName) + } + return utils.HashToUUID(s) +} + +func (m CompliancePosture) BeforeSave(tx *gorm.DB) error { + m.ID = m.CalculateHash() + return nil +} diff --git a/database/models/framework_control_model.go b/database/models/framework_control_model.go new file mode 100644 index 000000000..7f461e225 --- /dev/null +++ b/database/models/framework_control_model.go @@ -0,0 +1,31 @@ +package models + +import ( + "fmt" + + "gorm.io/gorm" +) + +type FrameworkControl struct { + FrameworkControlID string `json:"frameworkControlId" gorm:"type:text;primaryKey;"` + Title string `json:"title"` + Description string `json:"description"` + + Framework string `yaml:"framework" json:"framework"` + ControlID string `yaml:"controls" json:"controls"` +} + +func (m FrameworkControl) TableName() string { + return "frameworks_controls" +} + +func (m *FrameworkControl) SetID() { + m.FrameworkControlID = fmt.Sprintf("%s:%s", m.Framework, m.ControlID) +} + +func (m *FrameworkControl) BeforeSave(tx *gorm.DB) (err error) { + if m.FrameworkControlID == "" { + m.SetID() + } + return nil +} diff --git a/database/models/vulnevent_model.go b/database/models/vulnevent_model.go index 1e97aabd7..7d89bea8b 100644 --- a/database/models/vulnevent_model.go +++ b/database/models/vulnevent_model.go @@ -17,6 +17,7 @@ type VulnEvent struct { DependencyVulnID *uuid.UUID `json:"dependencyVulnId" gorm:"type:uuid;column:dependency_vuln_id"` LicenseRiskID *uuid.UUID `json:"licenseRiskId" gorm:"type:uuid;column:license_risk_id"` FirstPartyVulnID *uuid.UUID `json:"firstPartyVulnId" gorm:"type:uuid;column:first_party_vuln_id"` + CompliancePostureID *uuid.UUID `json:"compliancePostureId" gorm:"type:uuid;column:compliance_posture_id"` UserID string `json:"userId"` Justification *string `json:"justification" gorm:"type:text;"` MechanicalJustification dtos.MechanicalJustificationType `json:"mechanicalJustification" gorm:"type:text;"` @@ -45,6 +46,9 @@ func (event VulnEvent) GetVulnID() uuid.UUID { if event.FirstPartyVulnID != nil { return *event.FirstPartyVulnID } + if event.CompliancePostureID != nil { + return *event.CompliancePostureID + } return uuid.Nil } @@ -59,6 +63,9 @@ func (event VulnEvent) GetVulnType() dtos.VulnType { if event.FirstPartyVulnID != nil { return dtos.VulnTypeFirstPartyVuln } + if event.CompliancePostureID != nil { + return dtos.VulnTypeCompliancePosture + } return "" } @@ -71,6 +78,8 @@ func SetVulnIDOnEvent(event *VulnEvent, vulnID uuid.UUID, vulnType dtos.VulnType event.LicenseRiskID = &vulnID case dtos.VulnTypeFirstPartyVuln: event.FirstPartyVulnID = &vulnID + case dtos.VulnTypeCompliancePosture: + event.CompliancePostureID = &vulnID } } @@ -231,6 +240,28 @@ func NewRawRiskAssessmentUpdatedEvent(vulnID uuid.UUID, vulnType dtos.VulnType, return event } +func NewImplementedEvent(vulnID uuid.UUID, vulnType dtos.VulnType, userID string, justification string, userAgent *string) VulnEvent { + ev := VulnEvent{ + Type: dtos.EventTypeImplemented, + UserID: userID, + Justification: &justification, + UserAgent: userAgent, + } + SetVulnIDOnEvent(&ev, vulnID, vulnType) + return ev +} + +func NewNotApplicableEvent(vulnID uuid.UUID, vulnType dtos.VulnType, userID string, justification string, userAgent *string) VulnEvent { + ev := VulnEvent{ + Type: dtos.EventTypeNotApplicable, + UserID: userID, + Justification: &justification, + UserAgent: userAgent, + } + SetVulnIDOnEvent(&ev, vulnID, vulnType) + return ev +} + func CheckStatusType(statusType string) error { switch statusType { case "fixed": @@ -253,6 +284,10 @@ func CheckStatusType(statusType string) error { return nil case "removedScanner": return nil + case "implemented": + return nil + case "notApplicable": + return nil default: return fmt.Errorf("invalid status type") } diff --git a/database/repositories/compliance_posture_repository.go b/database/repositories/compliance_posture_repository.go new file mode 100644 index 000000000..db0272129 --- /dev/null +++ b/database/repositories/compliance_posture_repository.go @@ -0,0 +1,258 @@ +// Copyright (C) 2026 l3montree GmbH +// +// This program is free software: you can redistribute it and/or modify +// it under the terms of the GNU Affero General Public License as +// published by the Free Software Foundation, either version 3 of the +// License, or (at your option) any later version. +// +// This program is distributed in the hope that it will be useful, +// but WITHOUT ANY WARRANTY; without even the implied warranty of +// MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the +// GNU Affero General Public License for more details. +// +// You should have received a copy of the GNU Affero General Public License +// along with this program. If not, see . + +package repositories + +import ( + "context" + "fmt" + + "github.com/google/uuid" + "github.com/l3montree-dev/devguard/database/models" + "github.com/l3montree-dev/devguard/dtos" + "github.com/l3montree-dev/devguard/shared" + "github.com/l3montree-dev/devguard/statemachine" + "github.com/l3montree-dev/devguard/utils" + "gorm.io/gorm" +) + +type CompliancePostureRepository struct { + db *gorm.DB + utils.Repository[uuid.UUID, models.CompliancePosture, *gorm.DB] +} + +func NewCompliancePostureRepository(db *gorm.DB) *CompliancePostureRepository { + return &CompliancePostureRepository{ + db: db, + Repository: newGormRepository[uuid.UUID, models.CompliancePosture](db), + } +} + +func (r *CompliancePostureRepository) FindOrCreate(ctx context.Context, tx *gorm.DB, posture models.CompliancePosture) (*models.CompliancePosture, error) { + var existingPosture models.CompliancePosture + if err := r.GetDB(ctx, tx).Preload("FrameworkControl").Where("id = ?", posture.ID).First(&existingPosture).Error; err != nil { + newPosture := models.CompliancePosture{ + Vulnerability: models.Vulnerability{ID: posture.ID, State: posture.State}, + FrameworkControlID: posture.FrameworkControlID, + OrgID: posture.OrgID, + ProjectID: posture.ProjectID, + AssetID: posture.AssetID, + AssetVersionName: posture.AssetVersionName, + } + if err := r.GetDB(ctx, tx).Create(&newPosture).Error; err != nil { + return nil, fmt.Errorf("failed to create compliance posture: %w", err) + } + if err := r.GetDB(ctx, tx).Where("framework_control_id = ?", newPosture.FrameworkControlID).First(&newPosture.FrameworkControl).Error; err != nil { + return nil, fmt.Errorf("failed to load framework control for new compliance posture: %w", err) + } + return &newPosture, nil + } + return &existingPosture, nil +} + +func (r *CompliancePostureRepository) ApplyAndSave(ctx context.Context, tx *gorm.DB, posture *models.CompliancePosture, ev *models.VulnEvent) error { + if tx == nil { + return r.Transaction(ctx, func(d *gorm.DB) error { + return r.applyAndSave(ctx, d, posture, ev) + }) + } + return r.applyAndSave(ctx, tx, posture, ev) +} + +func (r *CompliancePostureRepository) applyAndSave(ctx context.Context, tx *gorm.DB, posture *models.CompliancePosture, ev *models.VulnEvent) error { + statemachine.Apply(posture, *ev) + if err := r.Save(ctx, tx, posture); err != nil { + return err + } + if err := r.GetDB(ctx, tx).Save(ev).Error; err != nil { + return err + } + posture.Events = append(posture.Events, *ev) + return nil +} + +func (r *CompliancePostureRepository) GetForAllControlsPaged(ctx context.Context, tx *gorm.DB, assetVersionName *string, assetID *uuid.UUID, projectID *uuid.UUID, orgID uuid.UUID, pageInfo shared.PageInfo, search string, filter []shared.FilterQuery, sort []shared.SortQuery) (shared.Paged[dtos.CompliancePostureWithControlDTO], error) { + var postures []dtos.CompliancePostureWithControlDTO + var count int64 + // Three LEFT JOINs at decreasing specificity; COALESCE picks the most specific match. + // cp_asset: exact match on org+project+asset+assetVersion + // cp_project: match on org+project, asset fields NULL in DB + // cp_org: match on org only, all scope fields NULL in DB + query := r.GetDB(ctx, tx).Model(&models.FrameworkControl{}).Debug(). + Select(`frameworks_controls.framework_control_id, + frameworks_controls.title, + frameworks_controls.description, + frameworks_controls.framework, + frameworks_controls.control_id, + COALESCE(cp_asset.id, cp_project.id, cp_org.id) AS id, + COALESCE(cp_asset.state, cp_project.state, cp_org.state) AS state, + COALESCE(cp_asset.org_id, cp_project.org_id, cp_org.org_id) AS org_id, + COALESCE(cp_asset.project_id, cp_project.project_id, cp_org.project_id) AS project_id, + COALESCE(cp_asset.asset_id, cp_project.asset_id, cp_org.asset_id) AS asset_id, + COALESCE(cp_asset.asset_version_name, cp_project.asset_version_name, cp_org.asset_version_name) AS asset_version_name`). + Joins(`LEFT JOIN compliance_postures cp_asset + ON frameworks_controls.framework_control_id = cp_asset.framework_control_id + AND cp_asset.org_id = ? + AND cp_asset.project_id IS NOT DISTINCT FROM ? + AND cp_asset.asset_id IS NOT DISTINCT FROM ? + AND cp_asset.asset_version_name IS NOT DISTINCT FROM ?`, orgID, projectID, assetID, assetVersionName). + Joins(`LEFT JOIN compliance_postures cp_project + ON frameworks_controls.framework_control_id = cp_project.framework_control_id + AND cp_project.org_id = ? + AND cp_project.project_id IS NOT DISTINCT FROM ? + AND cp_project.asset_id IS NULL + AND cp_project.asset_version_name IS NULL`, orgID, projectID). + Joins(`LEFT JOIN compliance_postures cp_org + ON frameworks_controls.framework_control_id = cp_org.framework_control_id + AND cp_org.org_id = ? + AND cp_org.project_id IS NULL + AND cp_org.asset_id IS NULL + AND cp_org.asset_version_name IS NULL`, orgID) + + if search != "" { + query = query.Where("frameworks_controls.name ILIKE ?", "%"+search+"%") + } + + // Wrap in a subquery so that filter/sort can reference the aliased columns + // (e.g. "state" from COALESCE) without ambiguity. + subquery := r.GetDB(ctx, tx).Table("(?) AS sub", query) + + for _, f := range filter { + subquery = subquery.Where(f.SQL(), f.Value()) + if f.Field == "state" && f.FieldValue == "open" && f.Operator == "is" { + subquery = subquery.Or("state IS NULL") + } else if f.Field == "state" && f.FieldValue == "open" && f.Operator == "is not" { + subquery = subquery.Where("state IS NOT NULL") + } + } + + for _, s := range sort { + subquery = subquery.Order(s.SQL()) + } + + if err := subquery.Count(&count).Error; err != nil { + return shared.Paged[dtos.CompliancePostureWithControlDTO]{}, err + } + + if err := subquery.Offset((pageInfo.Page - 1) * pageInfo.PageSize).Limit(pageInfo.PageSize).Find(&postures).Error; err != nil { + return shared.Paged[dtos.CompliancePostureWithControlDTO]{}, err + } + + return shared.NewPaged(pageInfo, count, postures), nil +} + +func (r *CompliancePostureRepository) GetStatsForAllControls(ctx context.Context, tx *gorm.DB, assetVersionName *string, assetID *uuid.UUID, projectID *uuid.UUID, orgID uuid.UUID) (dtos.CompliancePostureStatsDTO, error) { + type row struct { + State *string `gorm:"column:state"` + Count int64 `gorm:"column:count"` + } + var rows []row + + query := r.GetDB(ctx, tx).Model(&models.FrameworkControl{}). + Select(`COALESCE(cp_asset.state, cp_project.state, cp_org.state) AS state, COUNT(*) AS count`). + Joins(`LEFT JOIN compliance_postures cp_asset + ON frameworks_controls.framework_control_id = cp_asset.framework_control_id + AND cp_asset.org_id = ? + AND cp_asset.project_id IS NOT DISTINCT FROM ? + AND cp_asset.asset_id IS NOT DISTINCT FROM ? + AND cp_asset.asset_version_name IS NOT DISTINCT FROM ?`, orgID, projectID, assetID, assetVersionName). + Joins(`LEFT JOIN compliance_postures cp_project + ON frameworks_controls.framework_control_id = cp_project.framework_control_id + AND cp_project.org_id = ? + AND cp_project.project_id IS NOT DISTINCT FROM ? + AND cp_project.asset_id IS NULL + AND cp_project.asset_version_name IS NULL`, orgID, projectID). + Joins(`LEFT JOIN compliance_postures cp_org + ON frameworks_controls.framework_control_id = cp_org.framework_control_id + AND cp_org.org_id = ? + AND cp_org.project_id IS NULL + AND cp_org.asset_id IS NULL + AND cp_org.asset_version_name IS NULL`, orgID). + Group("COALESCE(cp_asset.state, cp_project.state, cp_org.state)") + + if err := query.Scan(&rows).Error; err != nil { + return dtos.CompliancePostureStatsDTO{}, err + } + + var stats dtos.CompliancePostureStatsDTO + for _, row := range rows { + switch { + case row.State == nil: + stats.Open += row.Count + case *row.State == string(dtos.VulnStateOpen): + stats.Open += row.Count + case *row.State == string(dtos.VulnStateImplemented): + stats.Implemented = row.Count + case *row.State == string(dtos.VulnStateNotApplicable): + stats.NotApplicable = row.Count + } + } + return stats, nil +} + +func (r *CompliancePostureRepository) GetForControl(ctx context.Context, tx *gorm.DB, controlID string, assetVersionName *string, assetID *uuid.UUID, projectID *uuid.UUID, orgID uuid.UUID) (*models.CompliancePosture, error) { + + type row struct { + ID *uuid.UUID `gorm:"column:id"` + } + var result row + + err := r.GetDB(ctx, tx).Model(&models.FrameworkControl{}). + Select(`COALESCE(cp_asset.id, cp_project.id, cp_org.id) AS id`). + Joins(`LEFT JOIN compliance_postures cp_asset + ON frameworks_controls.framework_control_id = cp_asset.framework_control_id + AND cp_asset.org_id = ? + AND cp_asset.project_id IS NOT DISTINCT FROM ? + AND cp_asset.asset_id IS NOT DISTINCT FROM ? + AND cp_asset.asset_version_name IS NOT DISTINCT FROM ?`, orgID, projectID, assetID, assetVersionName). + Joins(`LEFT JOIN compliance_postures cp_project + ON frameworks_controls.framework_control_id = cp_project.framework_control_id + AND cp_project.org_id = ? + AND cp_project.project_id IS NOT DISTINCT FROM ? + AND cp_project.asset_id IS NULL + AND cp_project.asset_version_name IS NULL`, orgID, projectID). + Joins(`LEFT JOIN compliance_postures cp_org + ON frameworks_controls.framework_control_id = cp_org.framework_control_id + AND cp_org.org_id = ? + AND cp_org.project_id IS NULL + AND cp_org.asset_id IS NULL + AND cp_org.asset_version_name IS NULL`, orgID). + Where("frameworks_controls.framework_control_id = ?", controlID). + Scan(&result).Error + + if err != nil { + return nil, err + } + + var posture models.CompliancePosture + + if result.ID != nil { + if err := r.GetDB(ctx, tx). + Joins("FrameworkControl"). + Preload("Events"). + Where("compliance_postures.id = ?", result.ID). + First(&posture).Error; err != nil { + return nil, err + } + return &posture, nil + } + + // No posture exists at any scope — return an empty posture with just the control loaded. + posture.FrameworkControlID = controlID + if err := r.GetDB(ctx, tx).Where("framework_control_id = ?", controlID).First(&posture.FrameworkControl).Error; err != nil { + return nil, err + } + return &posture, nil +} diff --git a/database/repositories/providers.go b/database/repositories/providers.go index 84d540a31..c7b55d467 100644 --- a/database/repositories/providers.go +++ b/database/repositories/providers.go @@ -59,4 +59,5 @@ var Module = fx.Options( fx.Provide(fx.Annotate(NewTrustedEntityRepository, fx.As(new(shared.TrustedEntityRepository)))), fx.Provide(fx.Annotate(NewDependencyProxyRepository, fx.As(new(shared.DependencyProxySecretRepository)))), fx.Provide(fx.Annotate(NewAdminRepository, fx.As(new(shared.AdminRepository)))), + fx.Provide(fx.Annotate(NewCompliancePostureRepository, fx.As(new(shared.CompliancePostureRepository)))), ) diff --git a/database/repositories/vulnevent_repository.go b/database/repositories/vulnevent_repository.go index 16fd968c5..7798a7349 100644 --- a/database/repositories/vulnevent_repository.go +++ b/database/repositories/vulnevent_repository.go @@ -174,7 +174,8 @@ func (r *eventRepository) HasAccessToEvent(ctx context.Context, tx *gorm.DB, ass Joins("LEFT JOIN dependency_vulns dv ON ve.dependency_vuln_id = dv.id"). Joins("LEFT JOIN first_party_vulnerabilities fv ON ve.first_party_vuln_id = fv.id"). Joins("LEFT JOIN license_risks lv ON ve.license_risk_id = lv.id"). - Where("ve.id = ? AND (dv.asset_id = ? OR fv.asset_id = ? OR lv.asset_id = ?)", eventID, assetID, assetID, assetID). + Joins("LEFT JOIN compliance_postures cp ON ve.compliance_posture_id = cp.id"). + Where("ve.id = ? AND (dv.asset_id = ? OR fv.asset_id = ? OR lv.asset_id = ? OR cp.asset_id = ?)", eventID, assetID, assetID, assetID, assetID). Count(&count).Error if err != nil { return false, err diff --git a/dtos/comilance_posture_dto.go b/dtos/comilance_posture_dto.go new file mode 100644 index 000000000..96af4dc8f --- /dev/null +++ b/dtos/comilance_posture_dto.go @@ -0,0 +1,68 @@ +// Copyright (C) 2026 l3montree GmbH +// +// This program is free software: you can redistribute it and/or modify +// it under the terms of the GNU Affero General Public License as +// published by the Free Software Foundation, either version 3 of the +// License, or (at your option) any later version. +// +// This program is distributed in the hope that it will be useful, +// but WITHOUT ANY WARRANTY; without even the implied warranty of +// MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the +// GNU Affero General Public License for more details. +// +// You should have received a copy of the GNU Affero General Public License +// along with this program. If not, see . + +package dtos + +import ( + "github.com/google/uuid" +) + +type CompliancePostureDTO struct { + ControlID string `json:"controlId"` + ControlTitle string `json:"controlTitle"` + ControlDescription string `json:"controlDescription"` + + TicketID *string `json:"ticketId"` + TicketURL *string `json:"ticketUrl"` + ManualTicketCreation bool `json:"manualTicketCreation"` + + AssetID string `json:"assetId"` + ProjectID string `json:"projectId"` + OrgID string `json:"orgId"` + + State string `json:"state"` +} + +type DetailsCompliancePostureDTO struct { + CompliancePostureDTO + Events []VulnEventDTO `json:"events"` +} + +type CompliancePostureWithControlDTO struct { + FrameworkControlID string `json:"frameworkControlId"` + Framework string `json:"framework"` + ControlID string `json:"controlId"` + Title string `json:"title"` + Description string `json:"description"` + CompliancePostureID string `json:"compliancePostureId"` + State VulnState `json:"state"` + OrgID *uuid.UUID `json:"orgId"` + ProjectID *uuid.UUID `json:"projectId"` + AssetID *uuid.UUID `json:"assetId"` + AssetVersionName *string `json:"assetVersionName"` + TicketID *string `json:"ticketId"` + TicketURL *string `json:"ticketUrl"` +} + +type CompliancePostureWithDetailsDTO struct { + CompliancePostureWithControlDTO + Events []VulnEventDTO `json:"events"` +} + +type CompliancePostureStatsDTO struct { + Open int64 `json:"open"` + Implemented int64 `json:"implemented"` + NotApplicable int64 `json:"notApplicable"` +} diff --git a/dtos/dependency_vuln_dto.go b/dtos/dependency_vuln_dto.go index ad6949680..b7c0bc29f 100644 --- a/dtos/dependency_vuln_dto.go +++ b/dtos/dependency_vuln_dto.go @@ -66,6 +66,8 @@ const ( VulnStateAccepted VulnState = "accepted" // like ignore VulnStateFalsePositive VulnState = "falsePositive" // we can use that for crowdsource vulnerability management. 27 People marked this as false positive and they have the same dependency tree - propably you are not either VulnStateMarkedForTransfer VulnState = "markedForTransfer" + VulnStateImplemented VulnState = "implemented" // for compliance posture + VulnStateNotApplicable VulnState = "notApplicable" // for compliance posture ) type ExploitDTO struct { diff --git a/dtos/vulnevent_dto.go b/dtos/vulnevent_dto.go index 8ed1b7977..db777a3d1 100644 --- a/dtos/vulnevent_dto.go +++ b/dtos/vulnevent_dto.go @@ -11,9 +11,10 @@ type VulnEventType string type VulnType string const ( - VulnTypeDependencyVuln VulnType = "dependencyVuln" - VulnTypeFirstPartyVuln VulnType = "firstPartyVuln" - VulnTypeLicenseRisk VulnType = "licenseRisk" + VulnTypeDependencyVuln VulnType = "dependencyVuln" + VulnTypeFirstPartyVuln VulnType = "firstPartyVuln" + VulnTypeLicenseRisk VulnType = "licenseRisk" + VulnTypeCompliancePosture VulnType = "compliancePosture" ) const ( @@ -28,6 +29,9 @@ const ( EventTypeMarkedForTransfer VulnEventType = "markedForTransfer" EventTypeComment VulnEventType = "comment" + EventTypeImplemented VulnEventType = "implemented" + EventTypeNotApplicable VulnEventType = "notApplicable" + // Automated Events (Events that are triggered by automation's on the server) EventTypeDetected VulnEventType = "detected" diff --git a/router/compliance_posture_router.go b/router/compliance_posture_router.go new file mode 100644 index 000000000..5d8beff81 --- /dev/null +++ b/router/compliance_posture_router.go @@ -0,0 +1,39 @@ +// Copyright (C) 2026 l3montree GmbH +// +// This program is free software: you can redistribute it and/or modify +// it under the terms of the GNU Affero General Public License as +// published by the Free Software Foundation, either version 3 of the +// License, or (at your option) any later version. +// +// This program is distributed in the hope that it will be useful, +// but WITHOUT ANY WARRANTY; without even the implied warranty of +// MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the +// GNU Affero General Public License for more details. +// +// You should have received a copy of the GNU Affero General Public License +// along with this program. If not, see . + +package router + +import ( + "github.com/l3montree-dev/devguard/controllers" + "github.com/l3montree-dev/devguard/middlewares" + "github.com/labstack/echo/v4" +) + +type CompliancePostureRouter struct { + *echo.Group +} + +func NewCompliancePostureRouter( + assetVersionGroup AssetVersionRouter, + compliancePostureController *controllers.CompliancePostureController, +) CompliancePostureRouter { + compliancePostureRouter := assetVersionGroup.Group.Group("/compliance-postures") + compliancePostureRouter.GET("/", compliancePostureController.ListPaged) + compliancePostureRouter.GET("/stats/", compliancePostureController.Stats) + compliancePostureRouter.GET("/:frameworkControlID/", compliancePostureController.Read) + compliancePostureRouter.POST("/:frameworkControlID/", compliancePostureController.CreateEvent, middlewares.NeededScope([]string{"manage"}), middlewares.DisallowPublicRequests) + + return CompliancePostureRouter{Group: compliancePostureRouter} +} diff --git a/router/org_router.go b/router/org_router.go index 8ffd06cb2..52e80e5c6 100644 --- a/router/org_router.go +++ b/router/org_router.go @@ -36,6 +36,7 @@ func NewOrgRouter( dependencyProxyController *dependencyfirewall.DependencyProxyController, dependencyVulnController *controllers.DependencyVulnController, firstPartyVulnController *controllers.FirstPartyVulnController, + compliancePostureController *controllers.CompliancePostureController, policyController *controllers.PolicyController, integrationController *controllers.IntegrationController, webhookIntegration *controllers.WebhookController, @@ -75,6 +76,10 @@ func NewOrgRouter( organizationRouter.GET("/content-tree/", orgController.ContentTree) organizationRouter.GET("/dependency-vulns/", dependencyVulnController.ListByOrgPaged) organizationRouter.GET("/first-party-vulns/", firstPartyVulnController.ListByOrgPaged) + organizationRouter.GET("/compliance-postures/", compliancePostureController.ListPaged) + organizationRouter.GET("/compliance-postures/stats/", compliancePostureController.Stats) + organizationRouter.GET("/compliance-postures/:frameworkControlID/", compliancePostureController.Read) + organizationRouter.POST("/compliance-postures/:frameworkControlID/", compliancePostureController.CreateEvent, middlewares.NeededScope([]string{"manage"}), middlewares.DisallowPublicRequests) organizationRouter.GET("/policies/", policyController.GetOrganizationPolicies) organizationRouter.GET("/policies/:policyID/", policyController.GetPolicy) organizationRouter.GET("/members/", orgController.Members) diff --git a/router/project_router.go b/router/project_router.go index d3f6ba6b8..54c0c1b12 100644 --- a/router/project_router.go +++ b/router/project_router.go @@ -33,6 +33,7 @@ func NewProjectRouter( assetController *controllers.AssetController, dependencyProxyController *dependencyfirewall.DependencyProxyController, dependencyVulnController *controllers.DependencyVulnController, + compliancePostureController *controllers.CompliancePostureController, policyController *controllers.PolicyController, releaseController *controllers.ReleaseController, statisticsController *controllers.StatisticsController, @@ -51,6 +52,10 @@ func NewProjectRouter( projectRouter.GET("/resources/", projectController.ListSubProjectsAndAssets) projectRouter.GET("/policies/", policyController.GetProjectPolicies) projectRouter.GET("/dependency-vulns/", dependencyVulnController.ListByProjectPaged) + projectRouter.GET("/compliance-postures/", compliancePostureController.ListPaged) + projectRouter.GET("/compliance-postures/stats/", compliancePostureController.Stats) + projectRouter.GET("/compliance-postures/:frameworkControlID/", compliancePostureController.Read) + projectRouter.POST("/compliance-postures/:frameworkControlID/", compliancePostureController.CreateEvent, middlewares.NeededScope([]string{"manage"}), middlewares.DisallowPublicRequests) projectRouter.GET("/assets/", assetController.List) projectRouter.GET("/members/", projectController.Members) projectRouter.GET("/config-files/:config-file/", projectController.GetConfigFile) diff --git a/router/providers.go b/router/providers.go index 7d5056903..801f187dc 100644 --- a/router/providers.go +++ b/router/providers.go @@ -9,6 +9,7 @@ var RouterModule = fx.Options( fx.Provide(NewArtifactRouter), fx.Provide(NewAssetRouter), fx.Provide(NewAssetVersionRouter), + fx.Provide(NewCompliancePostureRouter), fx.Provide(NewDependencyVulnRouter), fx.Provide(NewFirstPartyVulnRouter), fx.Provide(NewLicenseRiskRouter), diff --git a/services/compliance_posture_service.go b/services/compliance_posture_service.go new file mode 100644 index 000000000..18b3ecdc6 --- /dev/null +++ b/services/compliance_posture_service.go @@ -0,0 +1,101 @@ +// Copyright (C) 2026 l3montree GmbH +// +// This program is free software: you can redistribute it and/or modify +// it under the terms of the GNU Affero General Public License as +// published by the Free Software Foundation, either version 3 of the +// License, or (at your option) any later version. +// +// This program is distributed in the hope that it will be useful, +// but WITHOUT ANY WARRANTY; without even the implied warranty of +// MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the +// GNU Affero General Public License for more details. +// +// You should have received a copy of the GNU Affero General Public License +// along with this program. If not, see . + +package services + +import ( + "context" + "fmt" + + "github.com/google/uuid" + "github.com/l3montree-dev/devguard/database/models" + "github.com/l3montree-dev/devguard/dtos" + "github.com/l3montree-dev/devguard/shared" + "gorm.io/gorm" +) + +type compliancePostureService struct { + compliancePostureRepository shared.CompliancePostureRepository + vulnEventRepository shared.VulnEventRepository +} + +func NewCompliancePostureService(compliancePostureRepository shared.CompliancePostureRepository, vulnEventRepository shared.VulnEventRepository) *compliancePostureService { + return &compliancePostureService{ + compliancePostureRepository: compliancePostureRepository, + vulnEventRepository: vulnEventRepository, + } +} + +func (s *compliancePostureService) GetForAllControlsPaged(ctx context.Context, tx *gorm.DB, assetVersionName *string, assetID *uuid.UUID, projectID *uuid.UUID, orgID uuid.UUID, pageInfo shared.PageInfo, search string, filter []shared.FilterQuery, sort []shared.SortQuery) (shared.Paged[dtos.CompliancePostureWithControlDTO], error) { + postgres, err := s.compliancePostureRepository.GetForAllControlsPaged(ctx, tx, assetVersionName, assetID, projectID, orgID, pageInfo, search, filter, sort) + //mapping the state to string for the DTO + for i, posture := range postgres.Data { + if posture.State == "" { + postgres.Data[i].State = dtos.VulnStateOpen + } + + } + return postgres, err +} + +func (s *compliancePostureService) UpdateCompliancePostureState(ctx context.Context, tx shared.DB, userID string, posture *models.CompliancePosture, statusType string, justification string, mechanicalJustification dtos.MechanicalJustificationType, userAgent *string) (models.VulnEvent, error) { + if tx == nil { + var ev models.VulnEvent + var err error + err = s.compliancePostureRepository.Transaction(ctx, func(d shared.DB) error { + ev, err = s.updateCompliancePostureState(ctx, d, userID, posture, statusType, justification, mechanicalJustification, userAgent) + return err + }) + return ev, err + } + return s.updateCompliancePostureState(ctx, tx, userID, posture, statusType, justification, mechanicalJustification, userAgent) +} +func (s *compliancePostureService) updateCompliancePostureState(ctx context.Context, tx shared.DB, userID string, posture *models.CompliancePosture, statusType string, justification string, mechanicalJustification dtos.MechanicalJustificationType, userAgent *string) (models.VulnEvent, error) { + var ev models.VulnEvent + switch dtos.VulnEventType(statusType) { + case dtos.EventTypeImplemented: + ev = models.NewImplementedEvent(posture.CalculateHash(), dtos.VulnTypeCompliancePosture, userID, justification, userAgent) + case dtos.EventTypeNotApplicable: + ev = models.NewNotApplicableEvent(posture.CalculateHash(), dtos.VulnTypeCompliancePosture, userID, justification, userAgent) + case dtos.EventTypeReopened: + ev = models.NewReopenedEvent(posture.CalculateHash(), dtos.VulnTypeCompliancePosture, userID, justification, false, userAgent) + case dtos.EventTypeComment: + ev = models.NewCommentEvent(posture.CalculateHash(), dtos.VulnTypeCompliancePosture, userID, justification, false, userAgent) + default: + return models.VulnEvent{}, fmt.Errorf("unsupported event type: %s", statusType) + } + err := s.compliancePostureRepository.ApplyAndSave(ctx, tx, posture, &ev) + return ev, err +} + +func (s *compliancePostureService) GetStatsForAllControls(ctx context.Context, tx shared.DB, assetVersionName *string, assetID *uuid.UUID, projectID *uuid.UUID, orgID uuid.UUID) (dtos.CompliancePostureStatsDTO, error) { + return s.compliancePostureRepository.GetStatsForAllControls(ctx, tx, assetVersionName, assetID, projectID, orgID) +} + +func (s *compliancePostureService) GetForControl(ctx context.Context, tx *gorm.DB, controlID string, assetVersionName *string, assetID *uuid.UUID, projectID *uuid.UUID, orgID uuid.UUID) (*models.CompliancePosture, error) { + posture, err := s.compliancePostureRepository.GetForControl(ctx, tx, controlID, assetVersionName, assetID, projectID, orgID) + if err != nil { + return nil, err + } + if posture == nil { + return nil, fmt.Errorf("compliance posture not found for control ID: %s", controlID) + } + + if posture.State == "" { + posture.State = dtos.VulnStateOpen + } + + return posture, nil +} diff --git a/services/providers.go b/services/providers.go index 54683f373..cfc0959a0 100644 --- a/services/providers.go +++ b/services/providers.go @@ -39,4 +39,5 @@ var ServiceModule = fx.Options( fx.Provide(fx.Annotate(NewAdminService, fx.As(new(shared.AdminService)))), fx.Provide(fx.Annotate(NewCrowdsourcedVexingService, fx.As(new(shared.CrowdSourcedVexingService)))), fx.Provide(fx.Annotate(NewDBEncryptionService, fx.As(new(shared.DBEncryptionService)))), + fx.Provide(fx.Annotate(NewCompliancePostureService, fx.As(new(shared.CompliancePostureService)))), ) diff --git a/shared/common_interfaces.go b/shared/common_interfaces.go index c6ff223a3..52534f39a 100644 --- a/shared/common_interfaces.go +++ b/shared/common_interfaces.go @@ -752,6 +752,23 @@ type AccessControl interface { GetExternalEntityProviderID() *string } +type CompliancePostureRepository interface { + utils.Repository[uuid.UUID, models.CompliancePosture, DB] + ApplyAndSave(ctx context.Context, tx DB, posture *models.CompliancePosture, ev *models.VulnEvent) error + FindOrCreate(ctx context.Context, tx DB, posture models.CompliancePosture) (*models.CompliancePosture, error) + + GetForAllControlsPaged(ctx context.Context, tx DB, assetVersionName *string, assetID *uuid.UUID, projectID *uuid.UUID, orgID uuid.UUID, pageInfo PageInfo, search string, filter []FilterQuery, sort []SortQuery) (Paged[dtos.CompliancePostureWithControlDTO], error) + GetStatsForAllControls(ctx context.Context, tx DB, assetVersionName *string, assetID *uuid.UUID, projectID *uuid.UUID, orgID uuid.UUID) (dtos.CompliancePostureStatsDTO, error) + + GetForControl(ctx context.Context, tx DB, controlID string, assetVersionName *string, assetID *uuid.UUID, projectID *uuid.UUID, orgID uuid.UUID) (*models.CompliancePosture, error) +} +type CompliancePostureService interface { + UpdateCompliancePostureState(ctx context.Context, tx DB, userID string, posture *models.CompliancePosture, statusType string, justification string, mechanicalJustification dtos.MechanicalJustificationType, userAgent *string) (models.VulnEvent, error) + + GetForAllControlsPaged(ctx context.Context, tx DB, assetVersionName *string, assetID *uuid.UUID, projectID *uuid.UUID, orgID uuid.UUID, pageInfo PageInfo, search string, filter []FilterQuery, sort []SortQuery) (Paged[dtos.CompliancePostureWithControlDTO], error) + GetStatsForAllControls(ctx context.Context, tx DB, assetVersionName *string, assetID *uuid.UUID, projectID *uuid.UUID, orgID uuid.UUID) (dtos.CompliancePostureStatsDTO, error) + GetForControl(ctx context.Context, tx DB, controlID string, assetVersionName *string, assetID *uuid.UUID, projectID *uuid.UUID, orgID uuid.UUID) (*models.CompliancePosture, error) +} type RBACProvider interface { GetDomainRBAC(domain string) AccessControl diff --git a/statemachine/dependency_vuln_statemachine.go b/statemachine/dependency_vuln_statemachine.go index 0c502dbfa..1d4f1cd0b 100644 --- a/statemachine/dependency_vuln_statemachine.go +++ b/statemachine/dependency_vuln_statemachine.go @@ -309,6 +309,13 @@ func Apply(vuln models.Vuln, event models.VulnEvent) { } vuln.SetRawRiskAssessment(f) vuln.SetRiskRecalculatedAt(time.Now()) + case dtos.EventTypeImplemented: + vuln.SetState(dtos.VulnStateImplemented) + case dtos.EventTypeNotApplicable: + vuln.SetState(dtos.VulnStateNotApplicable) + case dtos.EventTypeComment: + // Comments do not change the state of the vulnerability + return } } diff --git a/transformer/compliance_posture_transformer.go b/transformer/compliance_posture_transformer.go new file mode 100644 index 000000000..d8f6729dd --- /dev/null +++ b/transformer/compliance_posture_transformer.go @@ -0,0 +1,48 @@ +// Copyright (C) 2025 l3montree GmbH +// +// This program is free software: you can redistribute it and/or modify +// it under the terms of the GNU Affero General Public License as +// published by the Free Software Foundation, either version 3 of the +// License, or (at your option) any later version. +// +// This program is distributed in the hope that it will be useful, +// but WITHOUT ANY WARRANTY; without even the implied warranty of +// MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the +// GNU Affero General Public License for more details. +// +// You should have received a copy of the GNU Affero General Public License +// along with this program. If not, see . + +package transformer + +import ( + "github.com/l3montree-dev/devguard/database/models" + "github.com/l3montree-dev/devguard/dtos" +) + +func CompliancePostureToDTO(c models.CompliancePosture) dtos.CompliancePostureWithDetailsDTO { + + p := dtos.CompliancePostureWithControlDTO{ + FrameworkControlID: c.FrameworkControlID, + CompliancePostureID: c.ID.String(), + ControlID: c.FrameworkControl.ControlID, + Framework: c.FrameworkControl.Framework, + Title: c.FrameworkControl.Title, + Description: c.FrameworkControl.Description, + AssetVersionName: c.AssetVersionName, + AssetID: c.AssetID, + ProjectID: c.ProjectID, + OrgID: &c.OrgID, + State: c.State, + TicketID: c.TicketID, + TicketURL: c.TicketURL, + } + events := make([]dtos.VulnEventDTO, len(c.Events)) + for i, e := range c.Events { + events[i] = ConvertVulnEventToDto(e) + } + return dtos.CompliancePostureWithDetailsDTO{ + CompliancePostureWithControlDTO: p, + Events: events, + } +} From 43646f6a5ed0e631bce56a38542880f847a9bdf2 Mon Sep 17 00:00:00 2001 From: rafi Date: Wed, 1 Jul 2026 11:37:04 +0200 Subject: [PATCH 02/16] update compliance posture implementation and add mocks Signed-off-by: rafi --- controllers/compliance_posture_controller.go | 6 +- ...25000000_add_compliance_frameworks.up.sql} | 0 ...25000001_create_compliance_postures.up.sql | 31 +- database/models/compliance_posture_model.go | 6 + .../compliance_posture_repository.go | 8 +- dtos/comilance_posture_dto.go | 2 +- mocks/mock_CompliancePostureRepository.go | 1501 +++++++++++++++++ mocks/mock_CompliancePostureService.go | 446 +++++ router/router_test.go | 4 +- 9 files changed, 1984 insertions(+), 20 deletions(-) rename database/migrations/{20260625000000_add_compliance_frameworks_to_policies.up.sql => 20260625000000_add_compliance_frameworks.up.sql} (100%) create mode 100644 mocks/mock_CompliancePostureRepository.go create mode 100644 mocks/mock_CompliancePostureService.go diff --git a/controllers/compliance_posture_controller.go b/controllers/compliance_posture_controller.go index 9baf17faf..61c867d6d 100644 --- a/controllers/compliance_posture_controller.go +++ b/controllers/compliance_posture_controller.go @@ -183,7 +183,11 @@ func (c *CompliancePostureController) CreateEvent(ctx shared.Context) error { return echo.NewHTTPError(500, "failed to find or create compliance posture").WithInternal(err) } - _, err = c.CompliancePostureService.UpdateCompliancePostureState(ctx.Request().Context(), nil, userID, compliancePostureNew, statusType, *state.Justification, "", &userAgent) + justification := "" + if state.Justification != nil { + justification = *state.Justification + } + _, err = c.CompliancePostureService.UpdateCompliancePostureState(ctx.Request().Context(), nil, userID, compliancePostureNew, statusType, justification, "", &userAgent) if err != nil { return err } diff --git a/database/migrations/20260625000000_add_compliance_frameworks_to_policies.up.sql b/database/migrations/20260625000000_add_compliance_frameworks.up.sql similarity index 100% rename from database/migrations/20260625000000_add_compliance_frameworks_to_policies.up.sql rename to database/migrations/20260625000000_add_compliance_frameworks.up.sql diff --git a/database/migrations/20260625000001_create_compliance_postures.up.sql b/database/migrations/20260625000001_create_compliance_postures.up.sql index 323926b5f..1aa1228d8 100644 --- a/database/migrations/20260625000001_create_compliance_postures.up.sql +++ b/database/migrations/20260625000001_create_compliance_postures.up.sql @@ -1,18 +1,3 @@ -ALTER TABLE public.vuln_events - ADD COLUMN IF NOT EXISTS compliance_posture_id uuid REFERENCES public.compliance_postures(id) ON DELETE CASCADE; - --- Drop the old constraint and recreate it to also allow compliance_posture_id as a valid parent -ALTER TABLE public.vuln_events DROP CONSTRAINT IF EXISTS one_vuln_parent; -ALTER TABLE public.vuln_events ADD CONSTRAINT one_vuln_parent CHECK ( - (dependency_vuln_id IS NOT NULL)::int + - (license_risk_id IS NOT NULL)::int + - (first_party_vuln_id IS NOT NULL)::int + - (compliance_posture_id IS NOT NULL)::int = 1 -); - - - - CREATE TABLE IF NOT EXISTS public.compliance_postures ( id uuid NOT NULL, message text, @@ -45,3 +30,19 @@ ALTER TABLE ONLY public.compliance_postures ALTER TABLE ONLY public.compliance_postures ADD CONSTRAINT fk_compliance_postures_org FOREIGN KEY (org_id) REFERENCES public.organizations(id) ON DELETE CASCADE; + + +ALTER TABLE public.vuln_events + ADD COLUMN IF NOT EXISTS compliance_posture_id uuid REFERENCES public.compliance_postures(id) ON DELETE CASCADE; + +-- Drop the old constraint and recreate it to also allow compliance_posture_id as a valid parent +ALTER TABLE public.vuln_events DROP CONSTRAINT IF EXISTS one_vuln_parent; +ALTER TABLE public.vuln_events ADD CONSTRAINT one_vuln_parent CHECK ( + (dependency_vuln_id IS NOT NULL)::int + + (license_risk_id IS NOT NULL)::int + + (first_party_vuln_id IS NOT NULL)::int + + (compliance_posture_id IS NOT NULL)::int = 1 +); + + + diff --git a/database/models/compliance_posture_model.go b/database/models/compliance_posture_model.go index d39f89553..858baee77 100644 --- a/database/models/compliance_posture_model.go +++ b/database/models/compliance_posture_model.go @@ -48,6 +48,12 @@ func (m CompliancePosture) GetAssetVersionName() string { } return "" } +func (m CompliancePosture) GetAssetID() uuid.UUID { + if m.AssetID != nil { + return *m.AssetID + } + return uuid.Nil +} func (m CompliancePosture) AssetVersionIndependentHash() string { s := fmt.Sprintf("%s:%s", m.FrameworkControlID, m.OrgID.String()) diff --git a/database/repositories/compliance_posture_repository.go b/database/repositories/compliance_posture_repository.go index db0272129..a43635082 100644 --- a/database/repositories/compliance_posture_repository.go +++ b/database/repositories/compliance_posture_repository.go @@ -17,6 +17,7 @@ package repositories import ( "context" + "errors" "fmt" "github.com/google/uuid" @@ -43,6 +44,9 @@ func NewCompliancePostureRepository(db *gorm.DB) *CompliancePostureRepository { func (r *CompliancePostureRepository) FindOrCreate(ctx context.Context, tx *gorm.DB, posture models.CompliancePosture) (*models.CompliancePosture, error) { var existingPosture models.CompliancePosture if err := r.GetDB(ctx, tx).Preload("FrameworkControl").Where("id = ?", posture.ID).First(&existingPosture).Error; err != nil { + if !errors.Is(err, gorm.ErrRecordNotFound) { + return nil, fmt.Errorf("failed to query compliance posture: %w", err) + } newPosture := models.CompliancePosture{ Vulnerability: models.Vulnerability{ID: posture.ID, State: posture.State}, FrameworkControlID: posture.FrameworkControlID, @@ -90,7 +94,7 @@ func (r *CompliancePostureRepository) GetForAllControlsPaged(ctx context.Context // cp_asset: exact match on org+project+asset+assetVersion // cp_project: match on org+project, asset fields NULL in DB // cp_org: match on org only, all scope fields NULL in DB - query := r.GetDB(ctx, tx).Model(&models.FrameworkControl{}).Debug(). + query := r.GetDB(ctx, tx).Model(&models.FrameworkControl{}). Select(`frameworks_controls.framework_control_id, frameworks_controls.title, frameworks_controls.description, @@ -122,7 +126,7 @@ func (r *CompliancePostureRepository) GetForAllControlsPaged(ctx context.Context AND cp_org.asset_version_name IS NULL`, orgID) if search != "" { - query = query.Where("frameworks_controls.name ILIKE ?", "%"+search+"%") + query = query.Where("(frameworks_controls.title ILIKE ? OR frameworks_controls.control_id ILIKE ? OR frameworks_controls.framework ILIKE ?)", "%"+search+"%", "%"+search+"%", "%"+search+"%") } // Wrap in a subquery so that filter/sort can reference the aliased columns diff --git a/dtos/comilance_posture_dto.go b/dtos/comilance_posture_dto.go index 96af4dc8f..2e216b656 100644 --- a/dtos/comilance_posture_dto.go +++ b/dtos/comilance_posture_dto.go @@ -46,7 +46,7 @@ type CompliancePostureWithControlDTO struct { ControlID string `json:"controlId"` Title string `json:"title"` Description string `json:"description"` - CompliancePostureID string `json:"compliancePostureId"` + CompliancePostureID string `json:"compliancePostureId" gorm:"column:id"` State VulnState `json:"state"` OrgID *uuid.UUID `json:"orgId"` ProjectID *uuid.UUID `json:"projectId"` diff --git a/mocks/mock_CompliancePostureRepository.go b/mocks/mock_CompliancePostureRepository.go new file mode 100644 index 000000000..446d9e71c --- /dev/null +++ b/mocks/mock_CompliancePostureRepository.go @@ -0,0 +1,1501 @@ +// Code generated by mockery; DO NOT EDIT. +// github.com/vektra/mockery +// template: testify + +package mocks + +import ( + "context" + + "github.com/google/uuid" + "github.com/l3montree-dev/devguard/database/models" + "github.com/l3montree-dev/devguard/dtos" + "github.com/l3montree-dev/devguard/shared" + mock "github.com/stretchr/testify/mock" + "gorm.io/gorm/clause" +) + +// NewCompliancePostureRepository creates a new instance of CompliancePostureRepository. It also registers a testing interface on the mock and a cleanup function to assert the mocks expectations. +// The first argument is typically a *testing.T value. +func NewCompliancePostureRepository(t interface { + mock.TestingT + Cleanup(func()) +}) *CompliancePostureRepository { + mock := &CompliancePostureRepository{} + mock.Mock.Test(t) + + t.Cleanup(func() { mock.AssertExpectations(t) }) + + return mock +} + +// CompliancePostureRepository is an autogenerated mock type for the CompliancePostureRepository type +type CompliancePostureRepository struct { + mock.Mock +} + +type CompliancePostureRepository_Expecter struct { + mock *mock.Mock +} + +func (_m *CompliancePostureRepository) EXPECT() *CompliancePostureRepository_Expecter { + return &CompliancePostureRepository_Expecter{mock: &_m.Mock} +} + +// Activate provides a mock function for the type CompliancePostureRepository +func (_mock *CompliancePostureRepository) Activate(ctx context.Context, tx shared.DB, id uuid.UUID) error { + ret := _mock.Called(ctx, tx, id) + + if len(ret) == 0 { + panic("no return value specified for Activate") + } + + var r0 error + if returnFunc, ok := ret.Get(0).(func(context.Context, shared.DB, uuid.UUID) error); ok { + r0 = returnFunc(ctx, tx, id) + } else { + r0 = ret.Error(0) + } + return r0 +} + +// CompliancePostureRepository_Activate_Call is a *mock.Call that shadows Run/Return methods with type explicit version for method 'Activate' +type CompliancePostureRepository_Activate_Call struct { + *mock.Call +} + +// Activate is a helper method to define mock.On call +// - ctx context.Context +// - tx shared.DB +// - id uuid.UUID +func (_e *CompliancePostureRepository_Expecter) Activate(ctx interface{}, tx interface{}, id interface{}) *CompliancePostureRepository_Activate_Call { + return &CompliancePostureRepository_Activate_Call{Call: _e.mock.On("Activate", ctx, tx, id)} +} + +func (_c *CompliancePostureRepository_Activate_Call) Run(run func(ctx context.Context, tx shared.DB, id uuid.UUID)) *CompliancePostureRepository_Activate_Call { + _c.Call.Run(func(args mock.Arguments) { + var arg0 context.Context + if args[0] != nil { + arg0 = args[0].(context.Context) + } + var arg1 shared.DB + if args[1] != nil { + arg1 = args[1].(shared.DB) + } + var arg2 uuid.UUID + if args[2] != nil { + arg2 = args[2].(uuid.UUID) + } + run( + arg0, + arg1, + arg2, + ) + }) + return _c +} + +func (_c *CompliancePostureRepository_Activate_Call) Return(err error) *CompliancePostureRepository_Activate_Call { + _c.Call.Return(err) + return _c +} + +func (_c *CompliancePostureRepository_Activate_Call) RunAndReturn(run func(ctx context.Context, tx shared.DB, id uuid.UUID) error) *CompliancePostureRepository_Activate_Call { + _c.Call.Return(run) + return _c +} + +// All provides a mock function for the type CompliancePostureRepository +func (_mock *CompliancePostureRepository) All(ctx context.Context, tx shared.DB) ([]models.CompliancePosture, error) { + ret := _mock.Called(ctx, tx) + + if len(ret) == 0 { + panic("no return value specified for All") + } + + var r0 []models.CompliancePosture + var r1 error + if returnFunc, ok := ret.Get(0).(func(context.Context, shared.DB) ([]models.CompliancePosture, error)); ok { + return returnFunc(ctx, tx) + } + if returnFunc, ok := ret.Get(0).(func(context.Context, shared.DB) []models.CompliancePosture); ok { + r0 = returnFunc(ctx, tx) + } else { + if ret.Get(0) != nil { + r0 = ret.Get(0).([]models.CompliancePosture) + } + } + if returnFunc, ok := ret.Get(1).(func(context.Context, shared.DB) error); ok { + r1 = returnFunc(ctx, tx) + } else { + r1 = ret.Error(1) + } + return r0, r1 +} + +// CompliancePostureRepository_All_Call is a *mock.Call that shadows Run/Return methods with type explicit version for method 'All' +type CompliancePostureRepository_All_Call struct { + *mock.Call +} + +// All is a helper method to define mock.On call +// - ctx context.Context +// - tx shared.DB +func (_e *CompliancePostureRepository_Expecter) All(ctx interface{}, tx interface{}) *CompliancePostureRepository_All_Call { + return &CompliancePostureRepository_All_Call{Call: _e.mock.On("All", ctx, tx)} +} + +func (_c *CompliancePostureRepository_All_Call) Run(run func(ctx context.Context, tx shared.DB)) *CompliancePostureRepository_All_Call { + _c.Call.Run(func(args mock.Arguments) { + var arg0 context.Context + if args[0] != nil { + arg0 = args[0].(context.Context) + } + var arg1 shared.DB + if args[1] != nil { + arg1 = args[1].(shared.DB) + } + run( + arg0, + arg1, + ) + }) + return _c +} + +func (_c *CompliancePostureRepository_All_Call) Return(compliancePostures []models.CompliancePosture, err error) *CompliancePostureRepository_All_Call { + _c.Call.Return(compliancePostures, err) + return _c +} + +func (_c *CompliancePostureRepository_All_Call) RunAndReturn(run func(ctx context.Context, tx shared.DB) ([]models.CompliancePosture, error)) *CompliancePostureRepository_All_Call { + _c.Call.Return(run) + return _c +} + +// ApplyAndSave provides a mock function for the type CompliancePostureRepository +func (_mock *CompliancePostureRepository) ApplyAndSave(ctx context.Context, tx shared.DB, posture *models.CompliancePosture, ev *models.VulnEvent) error { + ret := _mock.Called(ctx, tx, posture, ev) + + if len(ret) == 0 { + panic("no return value specified for ApplyAndSave") + } + + var r0 error + if returnFunc, ok := ret.Get(0).(func(context.Context, shared.DB, *models.CompliancePosture, *models.VulnEvent) error); ok { + r0 = returnFunc(ctx, tx, posture, ev) + } else { + r0 = ret.Error(0) + } + return r0 +} + +// CompliancePostureRepository_ApplyAndSave_Call is a *mock.Call that shadows Run/Return methods with type explicit version for method 'ApplyAndSave' +type CompliancePostureRepository_ApplyAndSave_Call struct { + *mock.Call +} + +// ApplyAndSave is a helper method to define mock.On call +// - ctx context.Context +// - tx shared.DB +// - posture *models.CompliancePosture +// - ev *models.VulnEvent +func (_e *CompliancePostureRepository_Expecter) ApplyAndSave(ctx interface{}, tx interface{}, posture interface{}, ev interface{}) *CompliancePostureRepository_ApplyAndSave_Call { + return &CompliancePostureRepository_ApplyAndSave_Call{Call: _e.mock.On("ApplyAndSave", ctx, tx, posture, ev)} +} + +func (_c *CompliancePostureRepository_ApplyAndSave_Call) Run(run func(ctx context.Context, tx shared.DB, posture *models.CompliancePosture, ev *models.VulnEvent)) *CompliancePostureRepository_ApplyAndSave_Call { + _c.Call.Run(func(args mock.Arguments) { + var arg0 context.Context + if args[0] != nil { + arg0 = args[0].(context.Context) + } + var arg1 shared.DB + if args[1] != nil { + arg1 = args[1].(shared.DB) + } + var arg2 *models.CompliancePosture + if args[2] != nil { + arg2 = args[2].(*models.CompliancePosture) + } + var arg3 *models.VulnEvent + if args[3] != nil { + arg3 = args[3].(*models.VulnEvent) + } + run( + arg0, + arg1, + arg2, + arg3, + ) + }) + return _c +} + +func (_c *CompliancePostureRepository_ApplyAndSave_Call) Return(err error) *CompliancePostureRepository_ApplyAndSave_Call { + _c.Call.Return(err) + return _c +} + +func (_c *CompliancePostureRepository_ApplyAndSave_Call) RunAndReturn(run func(ctx context.Context, tx shared.DB, posture *models.CompliancePosture, ev *models.VulnEvent) error) *CompliancePostureRepository_ApplyAndSave_Call { + _c.Call.Return(run) + return _c +} + +// Begin provides a mock function for the type CompliancePostureRepository +func (_mock *CompliancePostureRepository) Begin(ctx context.Context) shared.DB { + ret := _mock.Called(ctx) + + if len(ret) == 0 { + panic("no return value specified for Begin") + } + + var r0 shared.DB + if returnFunc, ok := ret.Get(0).(func(context.Context) shared.DB); ok { + r0 = returnFunc(ctx) + } else { + if ret.Get(0) != nil { + r0 = ret.Get(0).(shared.DB) + } + } + return r0 +} + +// CompliancePostureRepository_Begin_Call is a *mock.Call that shadows Run/Return methods with type explicit version for method 'Begin' +type CompliancePostureRepository_Begin_Call struct { + *mock.Call +} + +// Begin is a helper method to define mock.On call +// - ctx context.Context +func (_e *CompliancePostureRepository_Expecter) Begin(ctx interface{}) *CompliancePostureRepository_Begin_Call { + return &CompliancePostureRepository_Begin_Call{Call: _e.mock.On("Begin", ctx)} +} + +func (_c *CompliancePostureRepository_Begin_Call) Run(run func(ctx context.Context)) *CompliancePostureRepository_Begin_Call { + _c.Call.Run(func(args mock.Arguments) { + var arg0 context.Context + if args[0] != nil { + arg0 = args[0].(context.Context) + } + run( + arg0, + ) + }) + return _c +} + +func (_c *CompliancePostureRepository_Begin_Call) Return(v shared.DB) *CompliancePostureRepository_Begin_Call { + _c.Call.Return(v) + return _c +} + +func (_c *CompliancePostureRepository_Begin_Call) RunAndReturn(run func(ctx context.Context) shared.DB) *CompliancePostureRepository_Begin_Call { + _c.Call.Return(run) + return _c +} + +// CleanupOrphanedRecords provides a mock function for the type CompliancePostureRepository +func (_mock *CompliancePostureRepository) CleanupOrphanedRecords(ctx context.Context) error { + ret := _mock.Called(ctx) + + if len(ret) == 0 { + panic("no return value specified for CleanupOrphanedRecords") + } + + var r0 error + if returnFunc, ok := ret.Get(0).(func(context.Context) error); ok { + r0 = returnFunc(ctx) + } else { + r0 = ret.Error(0) + } + return r0 +} + +// CompliancePostureRepository_CleanupOrphanedRecords_Call is a *mock.Call that shadows Run/Return methods with type explicit version for method 'CleanupOrphanedRecords' +type CompliancePostureRepository_CleanupOrphanedRecords_Call struct { + *mock.Call +} + +// CleanupOrphanedRecords is a helper method to define mock.On call +// - ctx context.Context +func (_e *CompliancePostureRepository_Expecter) CleanupOrphanedRecords(ctx interface{}) *CompliancePostureRepository_CleanupOrphanedRecords_Call { + return &CompliancePostureRepository_CleanupOrphanedRecords_Call{Call: _e.mock.On("CleanupOrphanedRecords", ctx)} +} + +func (_c *CompliancePostureRepository_CleanupOrphanedRecords_Call) Run(run func(ctx context.Context)) *CompliancePostureRepository_CleanupOrphanedRecords_Call { + _c.Call.Run(func(args mock.Arguments) { + var arg0 context.Context + if args[0] != nil { + arg0 = args[0].(context.Context) + } + run( + arg0, + ) + }) + return _c +} + +func (_c *CompliancePostureRepository_CleanupOrphanedRecords_Call) Return(err error) *CompliancePostureRepository_CleanupOrphanedRecords_Call { + _c.Call.Return(err) + return _c +} + +func (_c *CompliancePostureRepository_CleanupOrphanedRecords_Call) RunAndReturn(run func(ctx context.Context) error) *CompliancePostureRepository_CleanupOrphanedRecords_Call { + _c.Call.Return(run) + return _c +} + +// Create provides a mock function for the type CompliancePostureRepository +func (_mock *CompliancePostureRepository) Create(ctx context.Context, tx shared.DB, t *models.CompliancePosture) error { + ret := _mock.Called(ctx, tx, t) + + if len(ret) == 0 { + panic("no return value specified for Create") + } + + var r0 error + if returnFunc, ok := ret.Get(0).(func(context.Context, shared.DB, *models.CompliancePosture) error); ok { + r0 = returnFunc(ctx, tx, t) + } else { + r0 = ret.Error(0) + } + return r0 +} + +// CompliancePostureRepository_Create_Call is a *mock.Call that shadows Run/Return methods with type explicit version for method 'Create' +type CompliancePostureRepository_Create_Call struct { + *mock.Call +} + +// Create is a helper method to define mock.On call +// - ctx context.Context +// - tx shared.DB +// - t *models.CompliancePosture +func (_e *CompliancePostureRepository_Expecter) Create(ctx interface{}, tx interface{}, t interface{}) *CompliancePostureRepository_Create_Call { + return &CompliancePostureRepository_Create_Call{Call: _e.mock.On("Create", ctx, tx, t)} +} + +func (_c *CompliancePostureRepository_Create_Call) Run(run func(ctx context.Context, tx shared.DB, t *models.CompliancePosture)) *CompliancePostureRepository_Create_Call { + _c.Call.Run(func(args mock.Arguments) { + var arg0 context.Context + if args[0] != nil { + arg0 = args[0].(context.Context) + } + var arg1 shared.DB + if args[1] != nil { + arg1 = args[1].(shared.DB) + } + var arg2 *models.CompliancePosture + if args[2] != nil { + arg2 = args[2].(*models.CompliancePosture) + } + run( + arg0, + arg1, + arg2, + ) + }) + return _c +} + +func (_c *CompliancePostureRepository_Create_Call) Return(err error) *CompliancePostureRepository_Create_Call { + _c.Call.Return(err) + return _c +} + +func (_c *CompliancePostureRepository_Create_Call) RunAndReturn(run func(ctx context.Context, tx shared.DB, t *models.CompliancePosture) error) *CompliancePostureRepository_Create_Call { + _c.Call.Return(run) + return _c +} + +// CreateBatch provides a mock function for the type CompliancePostureRepository +func (_mock *CompliancePostureRepository) CreateBatch(ctx context.Context, tx shared.DB, ts []models.CompliancePosture) error { + ret := _mock.Called(ctx, tx, ts) + + if len(ret) == 0 { + panic("no return value specified for CreateBatch") + } + + var r0 error + if returnFunc, ok := ret.Get(0).(func(context.Context, shared.DB, []models.CompliancePosture) error); ok { + r0 = returnFunc(ctx, tx, ts) + } else { + r0 = ret.Error(0) + } + return r0 +} + +// CompliancePostureRepository_CreateBatch_Call is a *mock.Call that shadows Run/Return methods with type explicit version for method 'CreateBatch' +type CompliancePostureRepository_CreateBatch_Call struct { + *mock.Call +} + +// CreateBatch is a helper method to define mock.On call +// - ctx context.Context +// - tx shared.DB +// - ts []models.CompliancePosture +func (_e *CompliancePostureRepository_Expecter) CreateBatch(ctx interface{}, tx interface{}, ts interface{}) *CompliancePostureRepository_CreateBatch_Call { + return &CompliancePostureRepository_CreateBatch_Call{Call: _e.mock.On("CreateBatch", ctx, tx, ts)} +} + +func (_c *CompliancePostureRepository_CreateBatch_Call) Run(run func(ctx context.Context, tx shared.DB, ts []models.CompliancePosture)) *CompliancePostureRepository_CreateBatch_Call { + _c.Call.Run(func(args mock.Arguments) { + var arg0 context.Context + if args[0] != nil { + arg0 = args[0].(context.Context) + } + var arg1 shared.DB + if args[1] != nil { + arg1 = args[1].(shared.DB) + } + var arg2 []models.CompliancePosture + if args[2] != nil { + arg2 = args[2].([]models.CompliancePosture) + } + run( + arg0, + arg1, + arg2, + ) + }) + return _c +} + +func (_c *CompliancePostureRepository_CreateBatch_Call) Return(err error) *CompliancePostureRepository_CreateBatch_Call { + _c.Call.Return(err) + return _c +} + +func (_c *CompliancePostureRepository_CreateBatch_Call) RunAndReturn(run func(ctx context.Context, tx shared.DB, ts []models.CompliancePosture) error) *CompliancePostureRepository_CreateBatch_Call { + _c.Call.Return(run) + return _c +} + +// Delete provides a mock function for the type CompliancePostureRepository +func (_mock *CompliancePostureRepository) Delete(ctx context.Context, tx shared.DB, id uuid.UUID) error { + ret := _mock.Called(ctx, tx, id) + + if len(ret) == 0 { + panic("no return value specified for Delete") + } + + var r0 error + if returnFunc, ok := ret.Get(0).(func(context.Context, shared.DB, uuid.UUID) error); ok { + r0 = returnFunc(ctx, tx, id) + } else { + r0 = ret.Error(0) + } + return r0 +} + +// CompliancePostureRepository_Delete_Call is a *mock.Call that shadows Run/Return methods with type explicit version for method 'Delete' +type CompliancePostureRepository_Delete_Call struct { + *mock.Call +} + +// Delete is a helper method to define mock.On call +// - ctx context.Context +// - tx shared.DB +// - id uuid.UUID +func (_e *CompliancePostureRepository_Expecter) Delete(ctx interface{}, tx interface{}, id interface{}) *CompliancePostureRepository_Delete_Call { + return &CompliancePostureRepository_Delete_Call{Call: _e.mock.On("Delete", ctx, tx, id)} +} + +func (_c *CompliancePostureRepository_Delete_Call) Run(run func(ctx context.Context, tx shared.DB, id uuid.UUID)) *CompliancePostureRepository_Delete_Call { + _c.Call.Run(func(args mock.Arguments) { + var arg0 context.Context + if args[0] != nil { + arg0 = args[0].(context.Context) + } + var arg1 shared.DB + if args[1] != nil { + arg1 = args[1].(shared.DB) + } + var arg2 uuid.UUID + if args[2] != nil { + arg2 = args[2].(uuid.UUID) + } + run( + arg0, + arg1, + arg2, + ) + }) + return _c +} + +func (_c *CompliancePostureRepository_Delete_Call) Return(err error) *CompliancePostureRepository_Delete_Call { + _c.Call.Return(err) + return _c +} + +func (_c *CompliancePostureRepository_Delete_Call) RunAndReturn(run func(ctx context.Context, tx shared.DB, id uuid.UUID) error) *CompliancePostureRepository_Delete_Call { + _c.Call.Return(run) + return _c +} + +// DeleteBatch provides a mock function for the type CompliancePostureRepository +func (_mock *CompliancePostureRepository) DeleteBatch(ctx context.Context, tx shared.DB, ids []models.CompliancePosture) error { + ret := _mock.Called(ctx, tx, ids) + + if len(ret) == 0 { + panic("no return value specified for DeleteBatch") + } + + var r0 error + if returnFunc, ok := ret.Get(0).(func(context.Context, shared.DB, []models.CompliancePosture) error); ok { + r0 = returnFunc(ctx, tx, ids) + } else { + r0 = ret.Error(0) + } + return r0 +} + +// CompliancePostureRepository_DeleteBatch_Call is a *mock.Call that shadows Run/Return methods with type explicit version for method 'DeleteBatch' +type CompliancePostureRepository_DeleteBatch_Call struct { + *mock.Call +} + +// DeleteBatch is a helper method to define mock.On call +// - ctx context.Context +// - tx shared.DB +// - ids []models.CompliancePosture +func (_e *CompliancePostureRepository_Expecter) DeleteBatch(ctx interface{}, tx interface{}, ids interface{}) *CompliancePostureRepository_DeleteBatch_Call { + return &CompliancePostureRepository_DeleteBatch_Call{Call: _e.mock.On("DeleteBatch", ctx, tx, ids)} +} + +func (_c *CompliancePostureRepository_DeleteBatch_Call) Run(run func(ctx context.Context, tx shared.DB, ids []models.CompliancePosture)) *CompliancePostureRepository_DeleteBatch_Call { + _c.Call.Run(func(args mock.Arguments) { + var arg0 context.Context + if args[0] != nil { + arg0 = args[0].(context.Context) + } + var arg1 shared.DB + if args[1] != nil { + arg1 = args[1].(shared.DB) + } + var arg2 []models.CompliancePosture + if args[2] != nil { + arg2 = args[2].([]models.CompliancePosture) + } + run( + arg0, + arg1, + arg2, + ) + }) + return _c +} + +func (_c *CompliancePostureRepository_DeleteBatch_Call) Return(err error) *CompliancePostureRepository_DeleteBatch_Call { + _c.Call.Return(err) + return _c +} + +func (_c *CompliancePostureRepository_DeleteBatch_Call) RunAndReturn(run func(ctx context.Context, tx shared.DB, ids []models.CompliancePosture) error) *CompliancePostureRepository_DeleteBatch_Call { + _c.Call.Return(run) + return _c +} + +// FindOrCreate provides a mock function for the type CompliancePostureRepository +func (_mock *CompliancePostureRepository) FindOrCreate(ctx context.Context, tx shared.DB, posture models.CompliancePosture) (*models.CompliancePosture, error) { + ret := _mock.Called(ctx, tx, posture) + + if len(ret) == 0 { + panic("no return value specified for FindOrCreate") + } + + var r0 *models.CompliancePosture + var r1 error + if returnFunc, ok := ret.Get(0).(func(context.Context, shared.DB, models.CompliancePosture) (*models.CompliancePosture, error)); ok { + return returnFunc(ctx, tx, posture) + } + if returnFunc, ok := ret.Get(0).(func(context.Context, shared.DB, models.CompliancePosture) *models.CompliancePosture); ok { + r0 = returnFunc(ctx, tx, posture) + } else { + if ret.Get(0) != nil { + r0 = ret.Get(0).(*models.CompliancePosture) + } + } + if returnFunc, ok := ret.Get(1).(func(context.Context, shared.DB, models.CompliancePosture) error); ok { + r1 = returnFunc(ctx, tx, posture) + } else { + r1 = ret.Error(1) + } + return r0, r1 +} + +// CompliancePostureRepository_FindOrCreate_Call is a *mock.Call that shadows Run/Return methods with type explicit version for method 'FindOrCreate' +type CompliancePostureRepository_FindOrCreate_Call struct { + *mock.Call +} + +// FindOrCreate is a helper method to define mock.On call +// - ctx context.Context +// - tx shared.DB +// - posture models.CompliancePosture +func (_e *CompliancePostureRepository_Expecter) FindOrCreate(ctx interface{}, tx interface{}, posture interface{}) *CompliancePostureRepository_FindOrCreate_Call { + return &CompliancePostureRepository_FindOrCreate_Call{Call: _e.mock.On("FindOrCreate", ctx, tx, posture)} +} + +func (_c *CompliancePostureRepository_FindOrCreate_Call) Run(run func(ctx context.Context, tx shared.DB, posture models.CompliancePosture)) *CompliancePostureRepository_FindOrCreate_Call { + _c.Call.Run(func(args mock.Arguments) { + var arg0 context.Context + if args[0] != nil { + arg0 = args[0].(context.Context) + } + var arg1 shared.DB + if args[1] != nil { + arg1 = args[1].(shared.DB) + } + var arg2 models.CompliancePosture + if args[2] != nil { + arg2 = args[2].(models.CompliancePosture) + } + run( + arg0, + arg1, + arg2, + ) + }) + return _c +} + +func (_c *CompliancePostureRepository_FindOrCreate_Call) Return(compliancePosture *models.CompliancePosture, err error) *CompliancePostureRepository_FindOrCreate_Call { + _c.Call.Return(compliancePosture, err) + return _c +} + +func (_c *CompliancePostureRepository_FindOrCreate_Call) RunAndReturn(run func(ctx context.Context, tx shared.DB, posture models.CompliancePosture) (*models.CompliancePosture, error)) *CompliancePostureRepository_FindOrCreate_Call { + _c.Call.Return(run) + return _c +} + +// GetDB provides a mock function for the type CompliancePostureRepository +func (_mock *CompliancePostureRepository) GetDB(ctx context.Context, tx shared.DB) shared.DB { + ret := _mock.Called(ctx, tx) + + if len(ret) == 0 { + panic("no return value specified for GetDB") + } + + var r0 shared.DB + if returnFunc, ok := ret.Get(0).(func(context.Context, shared.DB) shared.DB); ok { + r0 = returnFunc(ctx, tx) + } else { + if ret.Get(0) != nil { + r0 = ret.Get(0).(shared.DB) + } + } + return r0 +} + +// CompliancePostureRepository_GetDB_Call is a *mock.Call that shadows Run/Return methods with type explicit version for method 'GetDB' +type CompliancePostureRepository_GetDB_Call struct { + *mock.Call +} + +// GetDB is a helper method to define mock.On call +// - ctx context.Context +// - tx shared.DB +func (_e *CompliancePostureRepository_Expecter) GetDB(ctx interface{}, tx interface{}) *CompliancePostureRepository_GetDB_Call { + return &CompliancePostureRepository_GetDB_Call{Call: _e.mock.On("GetDB", ctx, tx)} +} + +func (_c *CompliancePostureRepository_GetDB_Call) Run(run func(ctx context.Context, tx shared.DB)) *CompliancePostureRepository_GetDB_Call { + _c.Call.Run(func(args mock.Arguments) { + var arg0 context.Context + if args[0] != nil { + arg0 = args[0].(context.Context) + } + var arg1 shared.DB + if args[1] != nil { + arg1 = args[1].(shared.DB) + } + run( + arg0, + arg1, + ) + }) + return _c +} + +func (_c *CompliancePostureRepository_GetDB_Call) Return(v shared.DB) *CompliancePostureRepository_GetDB_Call { + _c.Call.Return(v) + return _c +} + +func (_c *CompliancePostureRepository_GetDB_Call) RunAndReturn(run func(ctx context.Context, tx shared.DB) shared.DB) *CompliancePostureRepository_GetDB_Call { + _c.Call.Return(run) + return _c +} + +// GetForAllControlsPaged provides a mock function for the type CompliancePostureRepository +func (_mock *CompliancePostureRepository) GetForAllControlsPaged(ctx context.Context, tx shared.DB, assetVersionName *string, assetID *uuid.UUID, projectID *uuid.UUID, orgID uuid.UUID, pageInfo shared.PageInfo, search string, filter []shared.FilterQuery, sort []shared.SortQuery) (shared.Paged[dtos.CompliancePostureWithControlDTO], error) { + ret := _mock.Called(ctx, tx, assetVersionName, assetID, projectID, orgID, pageInfo, search, filter, sort) + + if len(ret) == 0 { + panic("no return value specified for GetForAllControlsPaged") + } + + var r0 shared.Paged[dtos.CompliancePostureWithControlDTO] + var r1 error + if returnFunc, ok := ret.Get(0).(func(context.Context, shared.DB, *string, *uuid.UUID, *uuid.UUID, uuid.UUID, shared.PageInfo, string, []shared.FilterQuery, []shared.SortQuery) (shared.Paged[dtos.CompliancePostureWithControlDTO], error)); ok { + return returnFunc(ctx, tx, assetVersionName, assetID, projectID, orgID, pageInfo, search, filter, sort) + } + if returnFunc, ok := ret.Get(0).(func(context.Context, shared.DB, *string, *uuid.UUID, *uuid.UUID, uuid.UUID, shared.PageInfo, string, []shared.FilterQuery, []shared.SortQuery) shared.Paged[dtos.CompliancePostureWithControlDTO]); ok { + r0 = returnFunc(ctx, tx, assetVersionName, assetID, projectID, orgID, pageInfo, search, filter, sort) + } else { + r0 = ret.Get(0).(shared.Paged[dtos.CompliancePostureWithControlDTO]) + } + if returnFunc, ok := ret.Get(1).(func(context.Context, shared.DB, *string, *uuid.UUID, *uuid.UUID, uuid.UUID, shared.PageInfo, string, []shared.FilterQuery, []shared.SortQuery) error); ok { + r1 = returnFunc(ctx, tx, assetVersionName, assetID, projectID, orgID, pageInfo, search, filter, sort) + } else { + r1 = ret.Error(1) + } + return r0, r1 +} + +// CompliancePostureRepository_GetForAllControlsPaged_Call is a *mock.Call that shadows Run/Return methods with type explicit version for method 'GetForAllControlsPaged' +type CompliancePostureRepository_GetForAllControlsPaged_Call struct { + *mock.Call +} + +// GetForAllControlsPaged is a helper method to define mock.On call +// - ctx context.Context +// - tx shared.DB +// - assetVersionName *string +// - assetID *uuid.UUID +// - projectID *uuid.UUID +// - orgID uuid.UUID +// - pageInfo shared.PageInfo +// - search string +// - filter []shared.FilterQuery +// - sort []shared.SortQuery +func (_e *CompliancePostureRepository_Expecter) GetForAllControlsPaged(ctx interface{}, tx interface{}, assetVersionName interface{}, assetID interface{}, projectID interface{}, orgID interface{}, pageInfo interface{}, search interface{}, filter interface{}, sort interface{}) *CompliancePostureRepository_GetForAllControlsPaged_Call { + return &CompliancePostureRepository_GetForAllControlsPaged_Call{Call: _e.mock.On("GetForAllControlsPaged", ctx, tx, assetVersionName, assetID, projectID, orgID, pageInfo, search, filter, sort)} +} + +func (_c *CompliancePostureRepository_GetForAllControlsPaged_Call) Run(run func(ctx context.Context, tx shared.DB, assetVersionName *string, assetID *uuid.UUID, projectID *uuid.UUID, orgID uuid.UUID, pageInfo shared.PageInfo, search string, filter []shared.FilterQuery, sort []shared.SortQuery)) *CompliancePostureRepository_GetForAllControlsPaged_Call { + _c.Call.Run(func(args mock.Arguments) { + var arg0 context.Context + if args[0] != nil { + arg0 = args[0].(context.Context) + } + var arg1 shared.DB + if args[1] != nil { + arg1 = args[1].(shared.DB) + } + var arg2 *string + if args[2] != nil { + arg2 = args[2].(*string) + } + var arg3 *uuid.UUID + if args[3] != nil { + arg3 = args[3].(*uuid.UUID) + } + var arg4 *uuid.UUID + if args[4] != nil { + arg4 = args[4].(*uuid.UUID) + } + var arg5 uuid.UUID + if args[5] != nil { + arg5 = args[5].(uuid.UUID) + } + var arg6 shared.PageInfo + if args[6] != nil { + arg6 = args[6].(shared.PageInfo) + } + var arg7 string + if args[7] != nil { + arg7 = args[7].(string) + } + var arg8 []shared.FilterQuery + if args[8] != nil { + arg8 = args[8].([]shared.FilterQuery) + } + var arg9 []shared.SortQuery + if args[9] != nil { + arg9 = args[9].([]shared.SortQuery) + } + run( + arg0, + arg1, + arg2, + arg3, + arg4, + arg5, + arg6, + arg7, + arg8, + arg9, + ) + }) + return _c +} + +func (_c *CompliancePostureRepository_GetForAllControlsPaged_Call) Return(paged shared.Paged[dtos.CompliancePostureWithControlDTO], err error) *CompliancePostureRepository_GetForAllControlsPaged_Call { + _c.Call.Return(paged, err) + return _c +} + +func (_c *CompliancePostureRepository_GetForAllControlsPaged_Call) RunAndReturn(run func(ctx context.Context, tx shared.DB, assetVersionName *string, assetID *uuid.UUID, projectID *uuid.UUID, orgID uuid.UUID, pageInfo shared.PageInfo, search string, filter []shared.FilterQuery, sort []shared.SortQuery) (shared.Paged[dtos.CompliancePostureWithControlDTO], error)) *CompliancePostureRepository_GetForAllControlsPaged_Call { + _c.Call.Return(run) + return _c +} + +// GetForControl provides a mock function for the type CompliancePostureRepository +func (_mock *CompliancePostureRepository) GetForControl(ctx context.Context, tx shared.DB, controlID string, assetVersionName *string, assetID *uuid.UUID, projectID *uuid.UUID, orgID uuid.UUID) (*models.CompliancePosture, error) { + ret := _mock.Called(ctx, tx, controlID, assetVersionName, assetID, projectID, orgID) + + if len(ret) == 0 { + panic("no return value specified for GetForControl") + } + + var r0 *models.CompliancePosture + var r1 error + if returnFunc, ok := ret.Get(0).(func(context.Context, shared.DB, string, *string, *uuid.UUID, *uuid.UUID, uuid.UUID) (*models.CompliancePosture, error)); ok { + return returnFunc(ctx, tx, controlID, assetVersionName, assetID, projectID, orgID) + } + if returnFunc, ok := ret.Get(0).(func(context.Context, shared.DB, string, *string, *uuid.UUID, *uuid.UUID, uuid.UUID) *models.CompliancePosture); ok { + r0 = returnFunc(ctx, tx, controlID, assetVersionName, assetID, projectID, orgID) + } else { + if ret.Get(0) != nil { + r0 = ret.Get(0).(*models.CompliancePosture) + } + } + if returnFunc, ok := ret.Get(1).(func(context.Context, shared.DB, string, *string, *uuid.UUID, *uuid.UUID, uuid.UUID) error); ok { + r1 = returnFunc(ctx, tx, controlID, assetVersionName, assetID, projectID, orgID) + } else { + r1 = ret.Error(1) + } + return r0, r1 +} + +// CompliancePostureRepository_GetForControl_Call is a *mock.Call that shadows Run/Return methods with type explicit version for method 'GetForControl' +type CompliancePostureRepository_GetForControl_Call struct { + *mock.Call +} + +// GetForControl is a helper method to define mock.On call +// - ctx context.Context +// - tx shared.DB +// - controlID string +// - assetVersionName *string +// - assetID *uuid.UUID +// - projectID *uuid.UUID +// - orgID uuid.UUID +func (_e *CompliancePostureRepository_Expecter) GetForControl(ctx interface{}, tx interface{}, controlID interface{}, assetVersionName interface{}, assetID interface{}, projectID interface{}, orgID interface{}) *CompliancePostureRepository_GetForControl_Call { + return &CompliancePostureRepository_GetForControl_Call{Call: _e.mock.On("GetForControl", ctx, tx, controlID, assetVersionName, assetID, projectID, orgID)} +} + +func (_c *CompliancePostureRepository_GetForControl_Call) Run(run func(ctx context.Context, tx shared.DB, controlID string, assetVersionName *string, assetID *uuid.UUID, projectID *uuid.UUID, orgID uuid.UUID)) *CompliancePostureRepository_GetForControl_Call { + _c.Call.Run(func(args mock.Arguments) { + var arg0 context.Context + if args[0] != nil { + arg0 = args[0].(context.Context) + } + var arg1 shared.DB + if args[1] != nil { + arg1 = args[1].(shared.DB) + } + var arg2 string + if args[2] != nil { + arg2 = args[2].(string) + } + var arg3 *string + if args[3] != nil { + arg3 = args[3].(*string) + } + var arg4 *uuid.UUID + if args[4] != nil { + arg4 = args[4].(*uuid.UUID) + } + var arg5 *uuid.UUID + if args[5] != nil { + arg5 = args[5].(*uuid.UUID) + } + var arg6 uuid.UUID + if args[6] != nil { + arg6 = args[6].(uuid.UUID) + } + run( + arg0, + arg1, + arg2, + arg3, + arg4, + arg5, + arg6, + ) + }) + return _c +} + +func (_c *CompliancePostureRepository_GetForControl_Call) Return(compliancePosture *models.CompliancePosture, err error) *CompliancePostureRepository_GetForControl_Call { + _c.Call.Return(compliancePosture, err) + return _c +} + +func (_c *CompliancePostureRepository_GetForControl_Call) RunAndReturn(run func(ctx context.Context, tx shared.DB, controlID string, assetVersionName *string, assetID *uuid.UUID, projectID *uuid.UUID, orgID uuid.UUID) (*models.CompliancePosture, error)) *CompliancePostureRepository_GetForControl_Call { + _c.Call.Return(run) + return _c +} + +// GetStatsForAllControls provides a mock function for the type CompliancePostureRepository +func (_mock *CompliancePostureRepository) GetStatsForAllControls(ctx context.Context, tx shared.DB, assetVersionName *string, assetID *uuid.UUID, projectID *uuid.UUID, orgID uuid.UUID) (dtos.CompliancePostureStatsDTO, error) { + ret := _mock.Called(ctx, tx, assetVersionName, assetID, projectID, orgID) + + if len(ret) == 0 { + panic("no return value specified for GetStatsForAllControls") + } + + var r0 dtos.CompliancePostureStatsDTO + var r1 error + if returnFunc, ok := ret.Get(0).(func(context.Context, shared.DB, *string, *uuid.UUID, *uuid.UUID, uuid.UUID) (dtos.CompliancePostureStatsDTO, error)); ok { + return returnFunc(ctx, tx, assetVersionName, assetID, projectID, orgID) + } + if returnFunc, ok := ret.Get(0).(func(context.Context, shared.DB, *string, *uuid.UUID, *uuid.UUID, uuid.UUID) dtos.CompliancePostureStatsDTO); ok { + r0 = returnFunc(ctx, tx, assetVersionName, assetID, projectID, orgID) + } else { + r0 = ret.Get(0).(dtos.CompliancePostureStatsDTO) + } + if returnFunc, ok := ret.Get(1).(func(context.Context, shared.DB, *string, *uuid.UUID, *uuid.UUID, uuid.UUID) error); ok { + r1 = returnFunc(ctx, tx, assetVersionName, assetID, projectID, orgID) + } else { + r1 = ret.Error(1) + } + return r0, r1 +} + +// CompliancePostureRepository_GetStatsForAllControls_Call is a *mock.Call that shadows Run/Return methods with type explicit version for method 'GetStatsForAllControls' +type CompliancePostureRepository_GetStatsForAllControls_Call struct { + *mock.Call +} + +// GetStatsForAllControls is a helper method to define mock.On call +// - ctx context.Context +// - tx shared.DB +// - assetVersionName *string +// - assetID *uuid.UUID +// - projectID *uuid.UUID +// - orgID uuid.UUID +func (_e *CompliancePostureRepository_Expecter) GetStatsForAllControls(ctx interface{}, tx interface{}, assetVersionName interface{}, assetID interface{}, projectID interface{}, orgID interface{}) *CompliancePostureRepository_GetStatsForAllControls_Call { + return &CompliancePostureRepository_GetStatsForAllControls_Call{Call: _e.mock.On("GetStatsForAllControls", ctx, tx, assetVersionName, assetID, projectID, orgID)} +} + +func (_c *CompliancePostureRepository_GetStatsForAllControls_Call) Run(run func(ctx context.Context, tx shared.DB, assetVersionName *string, assetID *uuid.UUID, projectID *uuid.UUID, orgID uuid.UUID)) *CompliancePostureRepository_GetStatsForAllControls_Call { + _c.Call.Run(func(args mock.Arguments) { + var arg0 context.Context + if args[0] != nil { + arg0 = args[0].(context.Context) + } + var arg1 shared.DB + if args[1] != nil { + arg1 = args[1].(shared.DB) + } + var arg2 *string + if args[2] != nil { + arg2 = args[2].(*string) + } + var arg3 *uuid.UUID + if args[3] != nil { + arg3 = args[3].(*uuid.UUID) + } + var arg4 *uuid.UUID + if args[4] != nil { + arg4 = args[4].(*uuid.UUID) + } + var arg5 uuid.UUID + if args[5] != nil { + arg5 = args[5].(uuid.UUID) + } + run( + arg0, + arg1, + arg2, + arg3, + arg4, + arg5, + ) + }) + return _c +} + +func (_c *CompliancePostureRepository_GetStatsForAllControls_Call) Return(compliancePostureStatsDTO dtos.CompliancePostureStatsDTO, err error) *CompliancePostureRepository_GetStatsForAllControls_Call { + _c.Call.Return(compliancePostureStatsDTO, err) + return _c +} + +func (_c *CompliancePostureRepository_GetStatsForAllControls_Call) RunAndReturn(run func(ctx context.Context, tx shared.DB, assetVersionName *string, assetID *uuid.UUID, projectID *uuid.UUID, orgID uuid.UUID) (dtos.CompliancePostureStatsDTO, error)) *CompliancePostureRepository_GetStatsForAllControls_Call { + _c.Call.Return(run) + return _c +} + +// List provides a mock function for the type CompliancePostureRepository +func (_mock *CompliancePostureRepository) List(ctx context.Context, tx shared.DB, ids []uuid.UUID) ([]models.CompliancePosture, error) { + ret := _mock.Called(ctx, tx, ids) + + if len(ret) == 0 { + panic("no return value specified for List") + } + + var r0 []models.CompliancePosture + var r1 error + if returnFunc, ok := ret.Get(0).(func(context.Context, shared.DB, []uuid.UUID) ([]models.CompliancePosture, error)); ok { + return returnFunc(ctx, tx, ids) + } + if returnFunc, ok := ret.Get(0).(func(context.Context, shared.DB, []uuid.UUID) []models.CompliancePosture); ok { + r0 = returnFunc(ctx, tx, ids) + } else { + if ret.Get(0) != nil { + r0 = ret.Get(0).([]models.CompliancePosture) + } + } + if returnFunc, ok := ret.Get(1).(func(context.Context, shared.DB, []uuid.UUID) error); ok { + r1 = returnFunc(ctx, tx, ids) + } else { + r1 = ret.Error(1) + } + return r0, r1 +} + +// CompliancePostureRepository_List_Call is a *mock.Call that shadows Run/Return methods with type explicit version for method 'List' +type CompliancePostureRepository_List_Call struct { + *mock.Call +} + +// List is a helper method to define mock.On call +// - ctx context.Context +// - tx shared.DB +// - ids []uuid.UUID +func (_e *CompliancePostureRepository_Expecter) List(ctx interface{}, tx interface{}, ids interface{}) *CompliancePostureRepository_List_Call { + return &CompliancePostureRepository_List_Call{Call: _e.mock.On("List", ctx, tx, ids)} +} + +func (_c *CompliancePostureRepository_List_Call) Run(run func(ctx context.Context, tx shared.DB, ids []uuid.UUID)) *CompliancePostureRepository_List_Call { + _c.Call.Run(func(args mock.Arguments) { + var arg0 context.Context + if args[0] != nil { + arg0 = args[0].(context.Context) + } + var arg1 shared.DB + if args[1] != nil { + arg1 = args[1].(shared.DB) + } + var arg2 []uuid.UUID + if args[2] != nil { + arg2 = args[2].([]uuid.UUID) + } + run( + arg0, + arg1, + arg2, + ) + }) + return _c +} + +func (_c *CompliancePostureRepository_List_Call) Return(compliancePostures []models.CompliancePosture, err error) *CompliancePostureRepository_List_Call { + _c.Call.Return(compliancePostures, err) + return _c +} + +func (_c *CompliancePostureRepository_List_Call) RunAndReturn(run func(ctx context.Context, tx shared.DB, ids []uuid.UUID) ([]models.CompliancePosture, error)) *CompliancePostureRepository_List_Call { + _c.Call.Return(run) + return _c +} + +// Read provides a mock function for the type CompliancePostureRepository +func (_mock *CompliancePostureRepository) Read(ctx context.Context, tx shared.DB, id uuid.UUID) (models.CompliancePosture, error) { + ret := _mock.Called(ctx, tx, id) + + if len(ret) == 0 { + panic("no return value specified for Read") + } + + var r0 models.CompliancePosture + var r1 error + if returnFunc, ok := ret.Get(0).(func(context.Context, shared.DB, uuid.UUID) (models.CompliancePosture, error)); ok { + return returnFunc(ctx, tx, id) + } + if returnFunc, ok := ret.Get(0).(func(context.Context, shared.DB, uuid.UUID) models.CompliancePosture); ok { + r0 = returnFunc(ctx, tx, id) + } else { + r0 = ret.Get(0).(models.CompliancePosture) + } + if returnFunc, ok := ret.Get(1).(func(context.Context, shared.DB, uuid.UUID) error); ok { + r1 = returnFunc(ctx, tx, id) + } else { + r1 = ret.Error(1) + } + return r0, r1 +} + +// CompliancePostureRepository_Read_Call is a *mock.Call that shadows Run/Return methods with type explicit version for method 'Read' +type CompliancePostureRepository_Read_Call struct { + *mock.Call +} + +// Read is a helper method to define mock.On call +// - ctx context.Context +// - tx shared.DB +// - id uuid.UUID +func (_e *CompliancePostureRepository_Expecter) Read(ctx interface{}, tx interface{}, id interface{}) *CompliancePostureRepository_Read_Call { + return &CompliancePostureRepository_Read_Call{Call: _e.mock.On("Read", ctx, tx, id)} +} + +func (_c *CompliancePostureRepository_Read_Call) Run(run func(ctx context.Context, tx shared.DB, id uuid.UUID)) *CompliancePostureRepository_Read_Call { + _c.Call.Run(func(args mock.Arguments) { + var arg0 context.Context + if args[0] != nil { + arg0 = args[0].(context.Context) + } + var arg1 shared.DB + if args[1] != nil { + arg1 = args[1].(shared.DB) + } + var arg2 uuid.UUID + if args[2] != nil { + arg2 = args[2].(uuid.UUID) + } + run( + arg0, + arg1, + arg2, + ) + }) + return _c +} + +func (_c *CompliancePostureRepository_Read_Call) Return(compliancePosture models.CompliancePosture, err error) *CompliancePostureRepository_Read_Call { + _c.Call.Return(compliancePosture, err) + return _c +} + +func (_c *CompliancePostureRepository_Read_Call) RunAndReturn(run func(ctx context.Context, tx shared.DB, id uuid.UUID) (models.CompliancePosture, error)) *CompliancePostureRepository_Read_Call { + _c.Call.Return(run) + return _c +} + +// Save provides a mock function for the type CompliancePostureRepository +func (_mock *CompliancePostureRepository) Save(ctx context.Context, tx shared.DB, t *models.CompliancePosture) error { + ret := _mock.Called(ctx, tx, t) + + if len(ret) == 0 { + panic("no return value specified for Save") + } + + var r0 error + if returnFunc, ok := ret.Get(0).(func(context.Context, shared.DB, *models.CompliancePosture) error); ok { + r0 = returnFunc(ctx, tx, t) + } else { + r0 = ret.Error(0) + } + return r0 +} + +// CompliancePostureRepository_Save_Call is a *mock.Call that shadows Run/Return methods with type explicit version for method 'Save' +type CompliancePostureRepository_Save_Call struct { + *mock.Call +} + +// Save is a helper method to define mock.On call +// - ctx context.Context +// - tx shared.DB +// - t *models.CompliancePosture +func (_e *CompliancePostureRepository_Expecter) Save(ctx interface{}, tx interface{}, t interface{}) *CompliancePostureRepository_Save_Call { + return &CompliancePostureRepository_Save_Call{Call: _e.mock.On("Save", ctx, tx, t)} +} + +func (_c *CompliancePostureRepository_Save_Call) Run(run func(ctx context.Context, tx shared.DB, t *models.CompliancePosture)) *CompliancePostureRepository_Save_Call { + _c.Call.Run(func(args mock.Arguments) { + var arg0 context.Context + if args[0] != nil { + arg0 = args[0].(context.Context) + } + var arg1 shared.DB + if args[1] != nil { + arg1 = args[1].(shared.DB) + } + var arg2 *models.CompliancePosture + if args[2] != nil { + arg2 = args[2].(*models.CompliancePosture) + } + run( + arg0, + arg1, + arg2, + ) + }) + return _c +} + +func (_c *CompliancePostureRepository_Save_Call) Return(err error) *CompliancePostureRepository_Save_Call { + _c.Call.Return(err) + return _c +} + +func (_c *CompliancePostureRepository_Save_Call) RunAndReturn(run func(ctx context.Context, tx shared.DB, t *models.CompliancePosture) error) *CompliancePostureRepository_Save_Call { + _c.Call.Return(run) + return _c +} + +// SaveBatch provides a mock function for the type CompliancePostureRepository +func (_mock *CompliancePostureRepository) SaveBatch(ctx context.Context, tx shared.DB, ts []models.CompliancePosture) error { + ret := _mock.Called(ctx, tx, ts) + + if len(ret) == 0 { + panic("no return value specified for SaveBatch") + } + + var r0 error + if returnFunc, ok := ret.Get(0).(func(context.Context, shared.DB, []models.CompliancePosture) error); ok { + r0 = returnFunc(ctx, tx, ts) + } else { + r0 = ret.Error(0) + } + return r0 +} + +// CompliancePostureRepository_SaveBatch_Call is a *mock.Call that shadows Run/Return methods with type explicit version for method 'SaveBatch' +type CompliancePostureRepository_SaveBatch_Call struct { + *mock.Call +} + +// SaveBatch is a helper method to define mock.On call +// - ctx context.Context +// - tx shared.DB +// - ts []models.CompliancePosture +func (_e *CompliancePostureRepository_Expecter) SaveBatch(ctx interface{}, tx interface{}, ts interface{}) *CompliancePostureRepository_SaveBatch_Call { + return &CompliancePostureRepository_SaveBatch_Call{Call: _e.mock.On("SaveBatch", ctx, tx, ts)} +} + +func (_c *CompliancePostureRepository_SaveBatch_Call) Run(run func(ctx context.Context, tx shared.DB, ts []models.CompliancePosture)) *CompliancePostureRepository_SaveBatch_Call { + _c.Call.Run(func(args mock.Arguments) { + var arg0 context.Context + if args[0] != nil { + arg0 = args[0].(context.Context) + } + var arg1 shared.DB + if args[1] != nil { + arg1 = args[1].(shared.DB) + } + var arg2 []models.CompliancePosture + if args[2] != nil { + arg2 = args[2].([]models.CompliancePosture) + } + run( + arg0, + arg1, + arg2, + ) + }) + return _c +} + +func (_c *CompliancePostureRepository_SaveBatch_Call) Return(err error) *CompliancePostureRepository_SaveBatch_Call { + _c.Call.Return(err) + return _c +} + +func (_c *CompliancePostureRepository_SaveBatch_Call) RunAndReturn(run func(ctx context.Context, tx shared.DB, ts []models.CompliancePosture) error) *CompliancePostureRepository_SaveBatch_Call { + _c.Call.Return(run) + return _c +} + +// SaveBatchBestEffort provides a mock function for the type CompliancePostureRepository +func (_mock *CompliancePostureRepository) SaveBatchBestEffort(ctx context.Context, tx shared.DB, ts []models.CompliancePosture) error { + ret := _mock.Called(ctx, tx, ts) + + if len(ret) == 0 { + panic("no return value specified for SaveBatchBestEffort") + } + + var r0 error + if returnFunc, ok := ret.Get(0).(func(context.Context, shared.DB, []models.CompliancePosture) error); ok { + r0 = returnFunc(ctx, tx, ts) + } else { + r0 = ret.Error(0) + } + return r0 +} + +// CompliancePostureRepository_SaveBatchBestEffort_Call is a *mock.Call that shadows Run/Return methods with type explicit version for method 'SaveBatchBestEffort' +type CompliancePostureRepository_SaveBatchBestEffort_Call struct { + *mock.Call +} + +// SaveBatchBestEffort is a helper method to define mock.On call +// - ctx context.Context +// - tx shared.DB +// - ts []models.CompliancePosture +func (_e *CompliancePostureRepository_Expecter) SaveBatchBestEffort(ctx interface{}, tx interface{}, ts interface{}) *CompliancePostureRepository_SaveBatchBestEffort_Call { + return &CompliancePostureRepository_SaveBatchBestEffort_Call{Call: _e.mock.On("SaveBatchBestEffort", ctx, tx, ts)} +} + +func (_c *CompliancePostureRepository_SaveBatchBestEffort_Call) Run(run func(ctx context.Context, tx shared.DB, ts []models.CompliancePosture)) *CompliancePostureRepository_SaveBatchBestEffort_Call { + _c.Call.Run(func(args mock.Arguments) { + var arg0 context.Context + if args[0] != nil { + arg0 = args[0].(context.Context) + } + var arg1 shared.DB + if args[1] != nil { + arg1 = args[1].(shared.DB) + } + var arg2 []models.CompliancePosture + if args[2] != nil { + arg2 = args[2].([]models.CompliancePosture) + } + run( + arg0, + arg1, + arg2, + ) + }) + return _c +} + +func (_c *CompliancePostureRepository_SaveBatchBestEffort_Call) Return(err error) *CompliancePostureRepository_SaveBatchBestEffort_Call { + _c.Call.Return(err) + return _c +} + +func (_c *CompliancePostureRepository_SaveBatchBestEffort_Call) RunAndReturn(run func(ctx context.Context, tx shared.DB, ts []models.CompliancePosture) error) *CompliancePostureRepository_SaveBatchBestEffort_Call { + _c.Call.Return(run) + return _c +} + +// Transaction provides a mock function for the type CompliancePostureRepository +func (_mock *CompliancePostureRepository) Transaction(ctx context.Context, fn func(tx shared.DB) error) error { + ret := _mock.Called(ctx, fn) + + if len(ret) == 0 { + panic("no return value specified for Transaction") + } + + var r0 error + if returnFunc, ok := ret.Get(0).(func(context.Context, func(tx shared.DB) error) error); ok { + r0 = returnFunc(ctx, fn) + } else { + r0 = ret.Error(0) + } + return r0 +} + +// CompliancePostureRepository_Transaction_Call is a *mock.Call that shadows Run/Return methods with type explicit version for method 'Transaction' +type CompliancePostureRepository_Transaction_Call struct { + *mock.Call +} + +// Transaction is a helper method to define mock.On call +// - ctx context.Context +// - fn func(tx shared.DB) error +func (_e *CompliancePostureRepository_Expecter) Transaction(ctx interface{}, fn interface{}) *CompliancePostureRepository_Transaction_Call { + return &CompliancePostureRepository_Transaction_Call{Call: _e.mock.On("Transaction", ctx, fn)} +} + +func (_c *CompliancePostureRepository_Transaction_Call) Run(run func(ctx context.Context, fn func(tx shared.DB) error)) *CompliancePostureRepository_Transaction_Call { + _c.Call.Run(func(args mock.Arguments) { + var arg0 context.Context + if args[0] != nil { + arg0 = args[0].(context.Context) + } + var arg1 func(tx shared.DB) error + if args[1] != nil { + arg1 = args[1].(func(tx shared.DB) error) + } + run( + arg0, + arg1, + ) + }) + return _c +} + +func (_c *CompliancePostureRepository_Transaction_Call) Return(err error) *CompliancePostureRepository_Transaction_Call { + _c.Call.Return(err) + return _c +} + +func (_c *CompliancePostureRepository_Transaction_Call) RunAndReturn(run func(ctx context.Context, fn func(tx shared.DB) error) error) *CompliancePostureRepository_Transaction_Call { + _c.Call.Return(run) + return _c +} + +// Upsert provides a mock function for the type CompliancePostureRepository +func (_mock *CompliancePostureRepository) Upsert(ctx context.Context, tx shared.DB, t *[]*models.CompliancePosture, conflictingColumns []clause.Column, updateOnly []string) error { + ret := _mock.Called(ctx, tx, t, conflictingColumns, updateOnly) + + if len(ret) == 0 { + panic("no return value specified for Upsert") + } + + var r0 error + if returnFunc, ok := ret.Get(0).(func(context.Context, shared.DB, *[]*models.CompliancePosture, []clause.Column, []string) error); ok { + r0 = returnFunc(ctx, tx, t, conflictingColumns, updateOnly) + } else { + r0 = ret.Error(0) + } + return r0 +} + +// CompliancePostureRepository_Upsert_Call is a *mock.Call that shadows Run/Return methods with type explicit version for method 'Upsert' +type CompliancePostureRepository_Upsert_Call struct { + *mock.Call +} + +// Upsert is a helper method to define mock.On call +// - ctx context.Context +// - tx shared.DB +// - t *[]*models.CompliancePosture +// - conflictingColumns []clause.Column +// - updateOnly []string +func (_e *CompliancePostureRepository_Expecter) Upsert(ctx interface{}, tx interface{}, t interface{}, conflictingColumns interface{}, updateOnly interface{}) *CompliancePostureRepository_Upsert_Call { + return &CompliancePostureRepository_Upsert_Call{Call: _e.mock.On("Upsert", ctx, tx, t, conflictingColumns, updateOnly)} +} + +func (_c *CompliancePostureRepository_Upsert_Call) Run(run func(ctx context.Context, tx shared.DB, t *[]*models.CompliancePosture, conflictingColumns []clause.Column, updateOnly []string)) *CompliancePostureRepository_Upsert_Call { + _c.Call.Run(func(args mock.Arguments) { + var arg0 context.Context + if args[0] != nil { + arg0 = args[0].(context.Context) + } + var arg1 shared.DB + if args[1] != nil { + arg1 = args[1].(shared.DB) + } + var arg2 *[]*models.CompliancePosture + if args[2] != nil { + arg2 = args[2].(*[]*models.CompliancePosture) + } + var arg3 []clause.Column + if args[3] != nil { + arg3 = args[3].([]clause.Column) + } + var arg4 []string + if args[4] != nil { + arg4 = args[4].([]string) + } + run( + arg0, + arg1, + arg2, + arg3, + arg4, + ) + }) + return _c +} + +func (_c *CompliancePostureRepository_Upsert_Call) Return(err error) *CompliancePostureRepository_Upsert_Call { + _c.Call.Return(err) + return _c +} + +func (_c *CompliancePostureRepository_Upsert_Call) RunAndReturn(run func(ctx context.Context, tx shared.DB, t *[]*models.CompliancePosture, conflictingColumns []clause.Column, updateOnly []string) error) *CompliancePostureRepository_Upsert_Call { + _c.Call.Return(run) + return _c +} diff --git a/mocks/mock_CompliancePostureService.go b/mocks/mock_CompliancePostureService.go new file mode 100644 index 000000000..363c2abe6 --- /dev/null +++ b/mocks/mock_CompliancePostureService.go @@ -0,0 +1,446 @@ +// Code generated by mockery; DO NOT EDIT. +// github.com/vektra/mockery +// template: testify + +package mocks + +import ( + "context" + + "github.com/google/uuid" + "github.com/l3montree-dev/devguard/database/models" + "github.com/l3montree-dev/devguard/dtos" + "github.com/l3montree-dev/devguard/shared" + mock "github.com/stretchr/testify/mock" +) + +// NewCompliancePostureService creates a new instance of CompliancePostureService. It also registers a testing interface on the mock and a cleanup function to assert the mocks expectations. +// The first argument is typically a *testing.T value. +func NewCompliancePostureService(t interface { + mock.TestingT + Cleanup(func()) +}) *CompliancePostureService { + mock := &CompliancePostureService{} + mock.Mock.Test(t) + + t.Cleanup(func() { mock.AssertExpectations(t) }) + + return mock +} + +// CompliancePostureService is an autogenerated mock type for the CompliancePostureService type +type CompliancePostureService struct { + mock.Mock +} + +type CompliancePostureService_Expecter struct { + mock *mock.Mock +} + +func (_m *CompliancePostureService) EXPECT() *CompliancePostureService_Expecter { + return &CompliancePostureService_Expecter{mock: &_m.Mock} +} + +// GetForAllControlsPaged provides a mock function for the type CompliancePostureService +func (_mock *CompliancePostureService) GetForAllControlsPaged(ctx context.Context, tx shared.DB, assetVersionName *string, assetID *uuid.UUID, projectID *uuid.UUID, orgID uuid.UUID, pageInfo shared.PageInfo, search string, filter []shared.FilterQuery, sort []shared.SortQuery) (shared.Paged[dtos.CompliancePostureWithControlDTO], error) { + ret := _mock.Called(ctx, tx, assetVersionName, assetID, projectID, orgID, pageInfo, search, filter, sort) + + if len(ret) == 0 { + panic("no return value specified for GetForAllControlsPaged") + } + + var r0 shared.Paged[dtos.CompliancePostureWithControlDTO] + var r1 error + if returnFunc, ok := ret.Get(0).(func(context.Context, shared.DB, *string, *uuid.UUID, *uuid.UUID, uuid.UUID, shared.PageInfo, string, []shared.FilterQuery, []shared.SortQuery) (shared.Paged[dtos.CompliancePostureWithControlDTO], error)); ok { + return returnFunc(ctx, tx, assetVersionName, assetID, projectID, orgID, pageInfo, search, filter, sort) + } + if returnFunc, ok := ret.Get(0).(func(context.Context, shared.DB, *string, *uuid.UUID, *uuid.UUID, uuid.UUID, shared.PageInfo, string, []shared.FilterQuery, []shared.SortQuery) shared.Paged[dtos.CompliancePostureWithControlDTO]); ok { + r0 = returnFunc(ctx, tx, assetVersionName, assetID, projectID, orgID, pageInfo, search, filter, sort) + } else { + r0 = ret.Get(0).(shared.Paged[dtos.CompliancePostureWithControlDTO]) + } + if returnFunc, ok := ret.Get(1).(func(context.Context, shared.DB, *string, *uuid.UUID, *uuid.UUID, uuid.UUID, shared.PageInfo, string, []shared.FilterQuery, []shared.SortQuery) error); ok { + r1 = returnFunc(ctx, tx, assetVersionName, assetID, projectID, orgID, pageInfo, search, filter, sort) + } else { + r1 = ret.Error(1) + } + return r0, r1 +} + +// CompliancePostureService_GetForAllControlsPaged_Call is a *mock.Call that shadows Run/Return methods with type explicit version for method 'GetForAllControlsPaged' +type CompliancePostureService_GetForAllControlsPaged_Call struct { + *mock.Call +} + +// GetForAllControlsPaged is a helper method to define mock.On call +// - ctx context.Context +// - tx shared.DB +// - assetVersionName *string +// - assetID *uuid.UUID +// - projectID *uuid.UUID +// - orgID uuid.UUID +// - pageInfo shared.PageInfo +// - search string +// - filter []shared.FilterQuery +// - sort []shared.SortQuery +func (_e *CompliancePostureService_Expecter) GetForAllControlsPaged(ctx interface{}, tx interface{}, assetVersionName interface{}, assetID interface{}, projectID interface{}, orgID interface{}, pageInfo interface{}, search interface{}, filter interface{}, sort interface{}) *CompliancePostureService_GetForAllControlsPaged_Call { + return &CompliancePostureService_GetForAllControlsPaged_Call{Call: _e.mock.On("GetForAllControlsPaged", ctx, tx, assetVersionName, assetID, projectID, orgID, pageInfo, search, filter, sort)} +} + +func (_c *CompliancePostureService_GetForAllControlsPaged_Call) Run(run func(ctx context.Context, tx shared.DB, assetVersionName *string, assetID *uuid.UUID, projectID *uuid.UUID, orgID uuid.UUID, pageInfo shared.PageInfo, search string, filter []shared.FilterQuery, sort []shared.SortQuery)) *CompliancePostureService_GetForAllControlsPaged_Call { + _c.Call.Run(func(args mock.Arguments) { + var arg0 context.Context + if args[0] != nil { + arg0 = args[0].(context.Context) + } + var arg1 shared.DB + if args[1] != nil { + arg1 = args[1].(shared.DB) + } + var arg2 *string + if args[2] != nil { + arg2 = args[2].(*string) + } + var arg3 *uuid.UUID + if args[3] != nil { + arg3 = args[3].(*uuid.UUID) + } + var arg4 *uuid.UUID + if args[4] != nil { + arg4 = args[4].(*uuid.UUID) + } + var arg5 uuid.UUID + if args[5] != nil { + arg5 = args[5].(uuid.UUID) + } + var arg6 shared.PageInfo + if args[6] != nil { + arg6 = args[6].(shared.PageInfo) + } + var arg7 string + if args[7] != nil { + arg7 = args[7].(string) + } + var arg8 []shared.FilterQuery + if args[8] != nil { + arg8 = args[8].([]shared.FilterQuery) + } + var arg9 []shared.SortQuery + if args[9] != nil { + arg9 = args[9].([]shared.SortQuery) + } + run( + arg0, + arg1, + arg2, + arg3, + arg4, + arg5, + arg6, + arg7, + arg8, + arg9, + ) + }) + return _c +} + +func (_c *CompliancePostureService_GetForAllControlsPaged_Call) Return(paged shared.Paged[dtos.CompliancePostureWithControlDTO], err error) *CompliancePostureService_GetForAllControlsPaged_Call { + _c.Call.Return(paged, err) + return _c +} + +func (_c *CompliancePostureService_GetForAllControlsPaged_Call) RunAndReturn(run func(ctx context.Context, tx shared.DB, assetVersionName *string, assetID *uuid.UUID, projectID *uuid.UUID, orgID uuid.UUID, pageInfo shared.PageInfo, search string, filter []shared.FilterQuery, sort []shared.SortQuery) (shared.Paged[dtos.CompliancePostureWithControlDTO], error)) *CompliancePostureService_GetForAllControlsPaged_Call { + _c.Call.Return(run) + return _c +} + +// GetForControl provides a mock function for the type CompliancePostureService +func (_mock *CompliancePostureService) GetForControl(ctx context.Context, tx shared.DB, controlID string, assetVersionName *string, assetID *uuid.UUID, projectID *uuid.UUID, orgID uuid.UUID) (*models.CompliancePosture, error) { + ret := _mock.Called(ctx, tx, controlID, assetVersionName, assetID, projectID, orgID) + + if len(ret) == 0 { + panic("no return value specified for GetForControl") + } + + var r0 *models.CompliancePosture + var r1 error + if returnFunc, ok := ret.Get(0).(func(context.Context, shared.DB, string, *string, *uuid.UUID, *uuid.UUID, uuid.UUID) (*models.CompliancePosture, error)); ok { + return returnFunc(ctx, tx, controlID, assetVersionName, assetID, projectID, orgID) + } + if returnFunc, ok := ret.Get(0).(func(context.Context, shared.DB, string, *string, *uuid.UUID, *uuid.UUID, uuid.UUID) *models.CompliancePosture); ok { + r0 = returnFunc(ctx, tx, controlID, assetVersionName, assetID, projectID, orgID) + } else { + if ret.Get(0) != nil { + r0 = ret.Get(0).(*models.CompliancePosture) + } + } + if returnFunc, ok := ret.Get(1).(func(context.Context, shared.DB, string, *string, *uuid.UUID, *uuid.UUID, uuid.UUID) error); ok { + r1 = returnFunc(ctx, tx, controlID, assetVersionName, assetID, projectID, orgID) + } else { + r1 = ret.Error(1) + } + return r0, r1 +} + +// CompliancePostureService_GetForControl_Call is a *mock.Call that shadows Run/Return methods with type explicit version for method 'GetForControl' +type CompliancePostureService_GetForControl_Call struct { + *mock.Call +} + +// GetForControl is a helper method to define mock.On call +// - ctx context.Context +// - tx shared.DB +// - controlID string +// - assetVersionName *string +// - assetID *uuid.UUID +// - projectID *uuid.UUID +// - orgID uuid.UUID +func (_e *CompliancePostureService_Expecter) GetForControl(ctx interface{}, tx interface{}, controlID interface{}, assetVersionName interface{}, assetID interface{}, projectID interface{}, orgID interface{}) *CompliancePostureService_GetForControl_Call { + return &CompliancePostureService_GetForControl_Call{Call: _e.mock.On("GetForControl", ctx, tx, controlID, assetVersionName, assetID, projectID, orgID)} +} + +func (_c *CompliancePostureService_GetForControl_Call) Run(run func(ctx context.Context, tx shared.DB, controlID string, assetVersionName *string, assetID *uuid.UUID, projectID *uuid.UUID, orgID uuid.UUID)) *CompliancePostureService_GetForControl_Call { + _c.Call.Run(func(args mock.Arguments) { + var arg0 context.Context + if args[0] != nil { + arg0 = args[0].(context.Context) + } + var arg1 shared.DB + if args[1] != nil { + arg1 = args[1].(shared.DB) + } + var arg2 string + if args[2] != nil { + arg2 = args[2].(string) + } + var arg3 *string + if args[3] != nil { + arg3 = args[3].(*string) + } + var arg4 *uuid.UUID + if args[4] != nil { + arg4 = args[4].(*uuid.UUID) + } + var arg5 *uuid.UUID + if args[5] != nil { + arg5 = args[5].(*uuid.UUID) + } + var arg6 uuid.UUID + if args[6] != nil { + arg6 = args[6].(uuid.UUID) + } + run( + arg0, + arg1, + arg2, + arg3, + arg4, + arg5, + arg6, + ) + }) + return _c +} + +func (_c *CompliancePostureService_GetForControl_Call) Return(compliancePosture *models.CompliancePosture, err error) *CompliancePostureService_GetForControl_Call { + _c.Call.Return(compliancePosture, err) + return _c +} + +func (_c *CompliancePostureService_GetForControl_Call) RunAndReturn(run func(ctx context.Context, tx shared.DB, controlID string, assetVersionName *string, assetID *uuid.UUID, projectID *uuid.UUID, orgID uuid.UUID) (*models.CompliancePosture, error)) *CompliancePostureService_GetForControl_Call { + _c.Call.Return(run) + return _c +} + +// GetStatsForAllControls provides a mock function for the type CompliancePostureService +func (_mock *CompliancePostureService) GetStatsForAllControls(ctx context.Context, tx shared.DB, assetVersionName *string, assetID *uuid.UUID, projectID *uuid.UUID, orgID uuid.UUID) (dtos.CompliancePostureStatsDTO, error) { + ret := _mock.Called(ctx, tx, assetVersionName, assetID, projectID, orgID) + + if len(ret) == 0 { + panic("no return value specified for GetStatsForAllControls") + } + + var r0 dtos.CompliancePostureStatsDTO + var r1 error + if returnFunc, ok := ret.Get(0).(func(context.Context, shared.DB, *string, *uuid.UUID, *uuid.UUID, uuid.UUID) (dtos.CompliancePostureStatsDTO, error)); ok { + return returnFunc(ctx, tx, assetVersionName, assetID, projectID, orgID) + } + if returnFunc, ok := ret.Get(0).(func(context.Context, shared.DB, *string, *uuid.UUID, *uuid.UUID, uuid.UUID) dtos.CompliancePostureStatsDTO); ok { + r0 = returnFunc(ctx, tx, assetVersionName, assetID, projectID, orgID) + } else { + r0 = ret.Get(0).(dtos.CompliancePostureStatsDTO) + } + if returnFunc, ok := ret.Get(1).(func(context.Context, shared.DB, *string, *uuid.UUID, *uuid.UUID, uuid.UUID) error); ok { + r1 = returnFunc(ctx, tx, assetVersionName, assetID, projectID, orgID) + } else { + r1 = ret.Error(1) + } + return r0, r1 +} + +// CompliancePostureService_GetStatsForAllControls_Call is a *mock.Call that shadows Run/Return methods with type explicit version for method 'GetStatsForAllControls' +type CompliancePostureService_GetStatsForAllControls_Call struct { + *mock.Call +} + +// GetStatsForAllControls is a helper method to define mock.On call +// - ctx context.Context +// - tx shared.DB +// - assetVersionName *string +// - assetID *uuid.UUID +// - projectID *uuid.UUID +// - orgID uuid.UUID +func (_e *CompliancePostureService_Expecter) GetStatsForAllControls(ctx interface{}, tx interface{}, assetVersionName interface{}, assetID interface{}, projectID interface{}, orgID interface{}) *CompliancePostureService_GetStatsForAllControls_Call { + return &CompliancePostureService_GetStatsForAllControls_Call{Call: _e.mock.On("GetStatsForAllControls", ctx, tx, assetVersionName, assetID, projectID, orgID)} +} + +func (_c *CompliancePostureService_GetStatsForAllControls_Call) Run(run func(ctx context.Context, tx shared.DB, assetVersionName *string, assetID *uuid.UUID, projectID *uuid.UUID, orgID uuid.UUID)) *CompliancePostureService_GetStatsForAllControls_Call { + _c.Call.Run(func(args mock.Arguments) { + var arg0 context.Context + if args[0] != nil { + arg0 = args[0].(context.Context) + } + var arg1 shared.DB + if args[1] != nil { + arg1 = args[1].(shared.DB) + } + var arg2 *string + if args[2] != nil { + arg2 = args[2].(*string) + } + var arg3 *uuid.UUID + if args[3] != nil { + arg3 = args[3].(*uuid.UUID) + } + var arg4 *uuid.UUID + if args[4] != nil { + arg4 = args[4].(*uuid.UUID) + } + var arg5 uuid.UUID + if args[5] != nil { + arg5 = args[5].(uuid.UUID) + } + run( + arg0, + arg1, + arg2, + arg3, + arg4, + arg5, + ) + }) + return _c +} + +func (_c *CompliancePostureService_GetStatsForAllControls_Call) Return(compliancePostureStatsDTO dtos.CompliancePostureStatsDTO, err error) *CompliancePostureService_GetStatsForAllControls_Call { + _c.Call.Return(compliancePostureStatsDTO, err) + return _c +} + +func (_c *CompliancePostureService_GetStatsForAllControls_Call) RunAndReturn(run func(ctx context.Context, tx shared.DB, assetVersionName *string, assetID *uuid.UUID, projectID *uuid.UUID, orgID uuid.UUID) (dtos.CompliancePostureStatsDTO, error)) *CompliancePostureService_GetStatsForAllControls_Call { + _c.Call.Return(run) + return _c +} + +// UpdateCompliancePostureState provides a mock function for the type CompliancePostureService +func (_mock *CompliancePostureService) UpdateCompliancePostureState(ctx context.Context, tx shared.DB, userID string, posture *models.CompliancePosture, statusType string, justification string, mechanicalJustification dtos.MechanicalJustificationType, userAgent *string) (models.VulnEvent, error) { + ret := _mock.Called(ctx, tx, userID, posture, statusType, justification, mechanicalJustification, userAgent) + + if len(ret) == 0 { + panic("no return value specified for UpdateCompliancePostureState") + } + + var r0 models.VulnEvent + var r1 error + if returnFunc, ok := ret.Get(0).(func(context.Context, shared.DB, string, *models.CompliancePosture, string, string, dtos.MechanicalJustificationType, *string) (models.VulnEvent, error)); ok { + return returnFunc(ctx, tx, userID, posture, statusType, justification, mechanicalJustification, userAgent) + } + if returnFunc, ok := ret.Get(0).(func(context.Context, shared.DB, string, *models.CompliancePosture, string, string, dtos.MechanicalJustificationType, *string) models.VulnEvent); ok { + r0 = returnFunc(ctx, tx, userID, posture, statusType, justification, mechanicalJustification, userAgent) + } else { + r0 = ret.Get(0).(models.VulnEvent) + } + if returnFunc, ok := ret.Get(1).(func(context.Context, shared.DB, string, *models.CompliancePosture, string, string, dtos.MechanicalJustificationType, *string) error); ok { + r1 = returnFunc(ctx, tx, userID, posture, statusType, justification, mechanicalJustification, userAgent) + } else { + r1 = ret.Error(1) + } + return r0, r1 +} + +// CompliancePostureService_UpdateCompliancePostureState_Call is a *mock.Call that shadows Run/Return methods with type explicit version for method 'UpdateCompliancePostureState' +type CompliancePostureService_UpdateCompliancePostureState_Call struct { + *mock.Call +} + +// UpdateCompliancePostureState is a helper method to define mock.On call +// - ctx context.Context +// - tx shared.DB +// - userID string +// - posture *models.CompliancePosture +// - statusType string +// - justification string +// - mechanicalJustification dtos.MechanicalJustificationType +// - userAgent *string +func (_e *CompliancePostureService_Expecter) UpdateCompliancePostureState(ctx interface{}, tx interface{}, userID interface{}, posture interface{}, statusType interface{}, justification interface{}, mechanicalJustification interface{}, userAgent interface{}) *CompliancePostureService_UpdateCompliancePostureState_Call { + return &CompliancePostureService_UpdateCompliancePostureState_Call{Call: _e.mock.On("UpdateCompliancePostureState", ctx, tx, userID, posture, statusType, justification, mechanicalJustification, userAgent)} +} + +func (_c *CompliancePostureService_UpdateCompliancePostureState_Call) Run(run func(ctx context.Context, tx shared.DB, userID string, posture *models.CompliancePosture, statusType string, justification string, mechanicalJustification dtos.MechanicalJustificationType, userAgent *string)) *CompliancePostureService_UpdateCompliancePostureState_Call { + _c.Call.Run(func(args mock.Arguments) { + var arg0 context.Context + if args[0] != nil { + arg0 = args[0].(context.Context) + } + var arg1 shared.DB + if args[1] != nil { + arg1 = args[1].(shared.DB) + } + var arg2 string + if args[2] != nil { + arg2 = args[2].(string) + } + var arg3 *models.CompliancePosture + if args[3] != nil { + arg3 = args[3].(*models.CompliancePosture) + } + var arg4 string + if args[4] != nil { + arg4 = args[4].(string) + } + var arg5 string + if args[5] != nil { + arg5 = args[5].(string) + } + var arg6 dtos.MechanicalJustificationType + if args[6] != nil { + arg6 = args[6].(dtos.MechanicalJustificationType) + } + var arg7 *string + if args[7] != nil { + arg7 = args[7].(*string) + } + run( + arg0, + arg1, + arg2, + arg3, + arg4, + arg5, + arg6, + arg7, + ) + }) + return _c +} + +func (_c *CompliancePostureService_UpdateCompliancePostureState_Call) Return(vulnEvent models.VulnEvent, err error) *CompliancePostureService_UpdateCompliancePostureState_Call { + _c.Call.Return(vulnEvent, err) + return _c +} + +func (_c *CompliancePostureService_UpdateCompliancePostureState_Call) RunAndReturn(run func(ctx context.Context, tx shared.DB, userID string, posture *models.CompliancePosture, statusType string, justification string, mechanicalJustification dtos.MechanicalJustificationType, userAgent *string) (models.VulnEvent, error)) *CompliancePostureService_UpdateCompliancePostureState_Call { + _c.Call.Return(run) + return _c +} diff --git a/router/router_test.go b/router/router_test.go index f7cba3552..480463bd2 100644 --- a/router/router_test.go +++ b/router/router_test.go @@ -221,6 +221,7 @@ func buildSecurityTestServer(t *testing.T, ac *mocks.AccessControl) *echo.Echo { new(dependencyfirewall.DependencyProxyController), new(controllers.DependencyVulnController), new(controllers.FirstPartyVulnController), + new(controllers.CompliancePostureController), new(controllers.PolicyController), new(controllers.IntegrationController), new(controllers.WebhookController), @@ -237,13 +238,14 @@ func buildSecurityTestServer(t *testing.T, ac *mocks.AccessControl) *echo.Echo { new(controllers.AssetController), new(dependencyfirewall.DependencyProxyController), new(controllers.DependencyVulnController), + new(controllers.CompliancePostureController), new(controllers.PolicyController), new(controllers.ReleaseController), new(controllers.StatisticsController), new(controllers.WebhookController), projectRepo, new(controllers.ComponentController), - nil, + map[string]*gitlabint.GitlabOauth2Config{}, ) assetRouter := NewAssetRouter( From cda0cae8e8ff90c3e7a8738c9ae8418360033c21 Mon Sep 17 00:00:00 2001 From: rafi Date: Thu, 2 Jul 2026 19:47:20 +0200 Subject: [PATCH 03/16] add Grundschutz++ controls and extend framework control schema Signed-off-by: rafi --- cmd/devguard/main.go | 23 + ...625000000_add_compliance_frameworks.up.sql | 6 + database/models/framework_control_model.go | 6 + .../compliance_posture_repository.go | 3 + dtos/comilance_posture_dto.go | 30 +- go.mod | 1 + go.sum | 2 + transformer/compliance_posture_transformer.go | 37 +- vulndb/compliance/Grundschutz++-catalog.json | 68934 ++++++++++++++++ vulndb/compliance/grundschutz_service.go | 56 + vulndb/compliance/oscal_service.go | 143 + 11 files changed, 69215 insertions(+), 26 deletions(-) create mode 100644 vulndb/compliance/Grundschutz++-catalog.json create mode 100644 vulndb/compliance/grundschutz_service.go create mode 100644 vulndb/compliance/oscal_service.go diff --git a/cmd/devguard/main.go b/cmd/devguard/main.go index c4a602f81..e34686c28 100644 --- a/cmd/devguard/main.go +++ b/cmd/devguard/main.go @@ -38,6 +38,7 @@ import ( "github.com/l3montree-dev/devguard/telemetry" "github.com/l3montree-dev/devguard/utils" "github.com/l3montree-dev/devguard/vulndb" + vulndbcompliance "github.com/l3montree-dev/devguard/vulndb/compliance" "go.opentelemetry.io/otel" "go.opentelemetry.io/otel/exporters/otlp/otlptrace/otlptracegrpc" "go.opentelemetry.io/otel/exporters/otlp/otlptrace/otlptracehttp" @@ -46,6 +47,7 @@ import ( "go.opentelemetry.io/otel/sdk/resource" sdktrace "go.opentelemetry.io/otel/sdk/trace" semconv "go.opentelemetry.io/otel/semconv/v1.26.0" + "gorm.io/gorm/clause" "github.com/l3montree-dev/devguard/router" "github.com/l3montree-dev/devguard/services" @@ -165,6 +167,27 @@ func main() { }, }) }), + //TODO: add a migration system to avoid this + fx.Invoke(func(lc fx.Lifecycle, db shared.DB) { + lc.Append(fx.Hook{ + OnStart: func(ctx context.Context) error { + controls, err := vulndbcompliance.LoadGrundschutzControls() + if err != nil { + slog.Error("could not load Grundschutz++ controls", "err", err) + return err + } + if err := db.WithContext(ctx).Clauses(clause.OnConflict{ + Columns: []clause.Column{{Name: "framework"}, {Name: "control_id"}}, + UpdateAll: true, + }).Create(&controls).Error; err != nil { + slog.Error("could not seed Grundschutz++ controls", "err", err) + return err + } + slog.Info("seeded Grundschutz++ controls", "count", len(controls)) + return nil + }, + }) + }), fx.Invoke(func(lc fx.Lifecycle, server api.Server) { lc.Append(fx.Hook{ OnStart: func(ctx context.Context) error { diff --git a/database/migrations/20260625000000_add_compliance_frameworks.up.sql b/database/migrations/20260625000000_add_compliance_frameworks.up.sql index 58fdfe569..c02a89b1b 100644 --- a/database/migrations/20260625000000_add_compliance_frameworks.up.sql +++ b/database/migrations/20260625000000_add_compliance_frameworks.up.sql @@ -6,6 +6,10 @@ CREATE TABLE IF NOT EXISTS public.frameworks_controls ( title text NOT NULL DEFAULT '', description text NOT NULL DEFAULT '', + class text NOT NULL DEFAULT '', + additional jsonb, + parent_framework_control_id text, + created_at timestamp with time zone, updated_at timestamp with time zone, deleted_at timestamp with time zone @@ -17,3 +21,5 @@ ALTER TABLE ONLY public.frameworks_controls -- Ensure framework + control_id are unique ALTER TABLE public.frameworks_controls ADD CONSTRAINT frameworks_controls_framework_control_id_unique UNIQUE (framework, control_id); + +CREATE INDEX IF NOT EXISTS idx_frameworks_controls_parent_framework_control_id ON public.frameworks_controls (parent_framework_control_id); diff --git a/database/models/framework_control_model.go b/database/models/framework_control_model.go index 7f461e225..4daf99cda 100644 --- a/database/models/framework_control_model.go +++ b/database/models/framework_control_model.go @@ -3,16 +3,22 @@ package models import ( "fmt" + "gorm.io/datatypes" "gorm.io/gorm" ) type FrameworkControl struct { FrameworkControlID string `json:"frameworkControlId" gorm:"type:text;primaryKey;"` Title string `json:"title"` + Class string `json:"class"` Description string `json:"description"` Framework string `yaml:"framework" json:"framework"` ControlID string `yaml:"controls" json:"controls"` + + Additional datatypes.JSON `yaml:"additional" json:"additional" gorm:"type:jsonb"` + + ParentFrameworkControlID *string `json:"parentFrameworkControlId" gorm:"type:text;index"` } func (m FrameworkControl) TableName() string { diff --git a/database/repositories/compliance_posture_repository.go b/database/repositories/compliance_posture_repository.go index a43635082..594e115b9 100644 --- a/database/repositories/compliance_posture_repository.go +++ b/database/repositories/compliance_posture_repository.go @@ -98,6 +98,9 @@ func (r *CompliancePostureRepository) GetForAllControlsPaged(ctx context.Context Select(`frameworks_controls.framework_control_id, frameworks_controls.title, frameworks_controls.description, + frameworks_controls.class, + frameworks_controls.additional, + frameworks_controls.parent_framework_control_id, frameworks_controls.framework, frameworks_controls.control_id, COALESCE(cp_asset.id, cp_project.id, cp_org.id) AS id, diff --git a/dtos/comilance_posture_dto.go b/dtos/comilance_posture_dto.go index 2e216b656..b35f48eda 100644 --- a/dtos/comilance_posture_dto.go +++ b/dtos/comilance_posture_dto.go @@ -17,6 +17,7 @@ package dtos import ( "github.com/google/uuid" + "gorm.io/datatypes" ) type CompliancePostureDTO struct { @@ -41,19 +42,22 @@ type DetailsCompliancePostureDTO struct { } type CompliancePostureWithControlDTO struct { - FrameworkControlID string `json:"frameworkControlId"` - Framework string `json:"framework"` - ControlID string `json:"controlId"` - Title string `json:"title"` - Description string `json:"description"` - CompliancePostureID string `json:"compliancePostureId" gorm:"column:id"` - State VulnState `json:"state"` - OrgID *uuid.UUID `json:"orgId"` - ProjectID *uuid.UUID `json:"projectId"` - AssetID *uuid.UUID `json:"assetId"` - AssetVersionName *string `json:"assetVersionName"` - TicketID *string `json:"ticketId"` - TicketURL *string `json:"ticketUrl"` + FrameworkControlID string `json:"frameworkControlId"` + Framework string `json:"framework"` + ControlID string `json:"controlId"` + Title string `json:"title"` + Description string `json:"description"` + Class string `json:"class"` + Additional datatypes.JSON `json:"additional"` + ParentFrameworkControlID *string `json:"parentFrameworkControlId"` + CompliancePostureID string `json:"compliancePostureId" gorm:"column:id"` + State VulnState `json:"state"` + OrgID *uuid.UUID `json:"orgId"` + ProjectID *uuid.UUID `json:"projectId"` + AssetID *uuid.UUID `json:"assetId"` + AssetVersionName *string `json:"assetVersionName"` + TicketID *string `json:"ticketId"` + TicketURL *string `json:"ticketUrl"` } type CompliancePostureWithDetailsDTO struct { diff --git a/go.mod b/go.mod index b4c478508..836eed526 100644 --- a/go.mod +++ b/go.mod @@ -12,6 +12,7 @@ require ( github.com/casbin/casbin/v2 v2.135.0 github.com/casbin/casbin/v3 v3.10.0 github.com/casbin/gorm-adapter/v3 v3.41.0 + github.com/defenseunicorns/go-oscal v0.7.0 github.com/exaring/otelpgx v0.11.1 github.com/getsentry/sentry-go v0.46.2 github.com/go-git/go-git/v5 v5.19.1 diff --git a/go.sum b/go.sum index 43196a811..a2d8ea701 100644 --- a/go.sum +++ b/go.sum @@ -387,6 +387,8 @@ github.com/davecgh/go-spew v1.1.2-0.20180830191138-d8f796af33cc h1:U9qPSI2PIWSS1 github.com/davecgh/go-spew v1.1.2-0.20180830191138-d8f796af33cc/go.mod h1:J7Y8YcW2NihsgmVo/mv3lAwl/skON4iLHjSsI+c5H38= github.com/decred/dcrd/dcrec/secp256k1/v4 v4.4.1 h1:5RVFMOWjMyRy8cARdy79nAmgYw3hK/4HUq48LQ6Wwqo= github.com/decred/dcrd/dcrec/secp256k1/v4 v4.4.1/go.mod h1:ZXNYxsqcloTdSy/rNShjYzMhyjf0LaoftYK0p+A3h40= +github.com/defenseunicorns/go-oscal v0.7.0 h1:Ji9Yw3zEkbUfKZ8Gotoi9ExjUV/h3jmFLJBCYWkDN3E= +github.com/defenseunicorns/go-oscal v0.7.0/go.mod h1:OPuLRz6v7qhSaKIUgr+bK6ykhYq7FpZozSn2cVZJhMs= github.com/depcheck-test/depcheck-test v0.0.0-20220607135614-199033aaa936 h1:foGzavPWwtoyBvjWyKJYDYsyzy+23iBV7NKTwdk+LRY= github.com/depcheck-test/depcheck-test v0.0.0-20220607135614-199033aaa936/go.mod h1:ttKPnOepYt4LLzD+loXQ1rT6EmpyIYHro7TAJuIIlHo= github.com/dgraph-io/badger/v4 v4.9.1 h1:DocZXZkg5JJHJPtUErA0ibyHxOVUDVoXLSCV6t8NC8w= diff --git a/transformer/compliance_posture_transformer.go b/transformer/compliance_posture_transformer.go index d8f6729dd..06a033b8f 100644 --- a/transformer/compliance_posture_transformer.go +++ b/transformer/compliance_posture_transformer.go @@ -16,26 +16,37 @@ package transformer import ( + "encoding/json" + "github.com/l3montree-dev/devguard/database/models" "github.com/l3montree-dev/devguard/dtos" + "gorm.io/datatypes" ) +func mustMarshalJSON(v any) datatypes.JSON { + b, _ := json.Marshal(v) + return datatypes.JSON(b) +} + func CompliancePostureToDTO(c models.CompliancePosture) dtos.CompliancePostureWithDetailsDTO { p := dtos.CompliancePostureWithControlDTO{ - FrameworkControlID: c.FrameworkControlID, - CompliancePostureID: c.ID.String(), - ControlID: c.FrameworkControl.ControlID, - Framework: c.FrameworkControl.Framework, - Title: c.FrameworkControl.Title, - Description: c.FrameworkControl.Description, - AssetVersionName: c.AssetVersionName, - AssetID: c.AssetID, - ProjectID: c.ProjectID, - OrgID: &c.OrgID, - State: c.State, - TicketID: c.TicketID, - TicketURL: c.TicketURL, + FrameworkControlID: c.FrameworkControlID, + CompliancePostureID: c.ID.String(), + ControlID: c.FrameworkControl.ControlID, + Framework: c.FrameworkControl.Framework, + Title: c.FrameworkControl.Title, + Description: c.FrameworkControl.Description, + Class: c.FrameworkControl.Class, + Additional: mustMarshalJSON(c.FrameworkControl.Additional), + ParentFrameworkControlID: c.FrameworkControl.ParentFrameworkControlID, + AssetVersionName: c.AssetVersionName, + AssetID: c.AssetID, + ProjectID: c.ProjectID, + OrgID: &c.OrgID, + State: c.State, + TicketID: c.TicketID, + TicketURL: c.TicketURL, } events := make([]dtos.VulnEventDTO, len(c.Events)) for i, e := range c.Events { diff --git a/vulndb/compliance/Grundschutz++-catalog.json b/vulndb/compliance/Grundschutz++-catalog.json new file mode 100644 index 000000000..de80dc033 --- /dev/null +++ b/vulndb/compliance/Grundschutz++-catalog.json @@ -0,0 +1,68934 @@ +{ + "catalog": { + "uuid": "63b80153-ee85-4d5a-a718-a534b17b194b", + "metadata": { + "title": "Anwenderkatalog Grundschutz++", + "last-modified": "2026-03-12T04:14:03.393232863Z", + "version": "2026-03-12T04:13:55.762859+00:00", + "oscal-version": "1.1.3", + "props": [ + { + "name": "resolution-tool", + "value": "libOSCAL-Java" + }, + { + "name": "scope_implements_norm", + "ns": "http://csrc.nist.gov/ns/oscal/1.0", + "value": "§ 44 Abs. 1 BSIG" + }, + { + "name": "keywords", + "value": "Information Security Management System" + } + ], + "links": [ + { + "href": "#6a598493-8f3b-4ad3-ad73-9fb1495916e6", + "rel": "reference", + "text": "BSI IT-Grundschutz Edition 2023" + } + ], + "roles": [ + { + "id": "creator", + "title": "Creator" + } + ], + "parties": [ + { + "uuid": "e1aeae0f-325b-4b9c-971a-df50687e5415", + "type": "person", + "name": "Bundesamt für Sicherheit in der Informationstechnik", + "email-addresses": [ + "service-center@bsi.bund.de" + ] + } + ], + "responsible-parties": [ + { + "role-id": "creator", + "party-uuids": [ + "e1aeae0f-325b-4b9c-971a-df50687e5415" + ] + } + ], + "remarks": "Der Grundschutz++ ist eine vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte und frei verfügbare Vorgehensweise um ein ganzheitliches Informationssicherheits-Managementsystem (ISMS) in Institutionen zu errichten und erhalten. Dieser Katalog enthält sowohl die Anforderungen zur Umsetzung der Grundschutz-Methodik als auch die konkreten technisch-organisatorischen Anforderungen die zur Absicherung erforderlich sind." + }, + "groups": [ + { + "id": "GC", + "title": "Governance und Compliance", + "props": [ + { + "name": "label", + "value": "GC", + "remarks": "Die Praktik Governance und Compliance stellt sicher, dass Informationssicherheitsstrategien mit den übergeordneten Zielen der Institution und regulatorischen Anforderungen im Einklang stehen. Sie vereint die strategische Steuerung der Informationssicherheit mit der systematischen Identifikation und Integration externer sowie interner Anforderungen. Diese Praktik definiert den strategischen Rahmen für die Informationssicherheit und beantwortet die Fragen nach dem \"Was\" und \"Warum\" von Anforderungen und Sicherheitsmaßnahmen. Sie gewährleistet die Einbindung der obersten Führungsebene in wichtige Entscheidungen zur Informationssicherheit und stellt sicher, dass alle relevanten gesetzlichen, regulatorischen und vertraglichen Vorgaben identifiziert und berücksichtigt werden. Während Governance und Compliance die strategische Ausrichtung und die Anforderungen definiert, übernehmen die operativen Praktiken wie Strukturmodellierung und Umsetzung die konkrete Ausgestaltung." + }, + { + "name": "alt-identifier", + "value": "b843af63-e2a3-4dcd-ab8e-fe66dde9b138" + } + ], + "groups": [ + { + "id": "GC.1", + "title": "Grundlagen", + "props": [ + { + "name": "label", + "value": "1" + }, + { + "name": "alt-identifier", + "value": "94bfadab-43f6-48d7-ac5e-49b8fbcf2794" + } + ], + "controls": [ + { + "id": "GC.1.1", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Errichtung und Aufrechterhaltung eines ISMS", + "params": [ + { + "id": "gc.1.1-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "80351189-6ffc-495e-a995-6219b9704724" + } + ], + "label": "BSI Grundschutz++", + "values": [ + "BSI Grundschutz++" + ] + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "80351189-6ffc-495e-a995-6219b9704724" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "GC.1.1_stm", + "name": "statement", + "props": [ + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Verfahren und Regelungen zur Errichtung und Aufrechterhaltung eines ISMS" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "nach {{einem anerkannten Standard}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Governance und Compliance MUSS Verfahren und Regelungen zur Errichtung und Aufrechterhaltung eines ISMS nach {{ insert: param, gc.1.1-prm1 }} verankern." + }, + { + "id": "GC.1.1_gdn", + "name": "guidance", + "prose": "Diese Anforderung ist der Ausgangs- und Endpunkt für ein Informationssicherheitsmanagementsystem (ISMS). Ein ISMS besteht aus Verfahren (d.h. bestimmten Abläufen, die mit Zuständigkeiten und Ressourcen versehen sind) und Regelungen (also festgelegten Regeln, die von allen Mitarbeitenden und sonstigen Verpflichteten einzuhalten oder technisch umgesetzt sind). Die Anforderung ist erst dann als erfüllt anzusehen, wenn die komplette Vorgehensweise mindestens einmal vollständig durchlaufen wurde. Unter „etabliert“ bzw. „errichtet“ ist hier zu verstehen, dass die Anforderungen an das ISMS standardkonform umgesetzt wurden. Unter \"aufrechterhalten\" ist hier zu verstehen, dass die Einhaltung der Anforderungen kontinuierlich überprüft wird und bei Bedarf Gegenmaßnahmen eingeleitet werden. Die bei der Festlegung der Verfahren und Regelungen im Einzelnen zu berücksichtigenden Inhalte ergeben sich aus den weiteren Anforderungen dieses Anwenderkataloges." + } + ] + } + ] + }, + { + "id": "GC.2", + "title": "Festlegung des Kontextes der Institution", + "props": [ + { + "name": "label", + "value": "2" + }, + { + "name": "alt-identifier", + "value": "a2157d39-b875-4bf8-9967-3c1df94006d2" + } + ], + "controls": [ + { + "id": "GC.2.1", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Festlegung des externen Kontextes der Institution", + "props": [ + { + "name": "alt-identifier", + "value": "7adcac0b-cc2c-43d4-8528-28d78beed631" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "links": [ + { + "href": "#GC.2.2", + "rel": "related" + } + ], + "parts": [ + { + "id": "GC.2.1_stm", + "name": "statement", + "props": [ + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "ein Verfahren zur Sammlung, Integration und Priorisierung aller für das Informationssicherheitsmanagement relevanten externen Rahmenbedingungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Governance und Compliance MUSS ein Verfahren zur Sammlung, Integration und Priorisierung aller für das Informationssicherheitsmanagement relevanten externen Rahmenbedingungen verankern." + }, + { + "id": "GC.2.1_gdn", + "name": "guidance", + "prose": "Analysieren und dokumentieren Sie systematisch alle externen Faktoren, die einen Einfluss auf die Informationssicherheitsziele und -strategie der Institution haben. Dazu zählen insbesondere Faktoren, die von außen auf die Institution einwirken wie z.B. gesellschaftliche und kulturelle Faktoren, die die Erwartungen an die Institution prägen; rechtliche und regulatorische Rahmenbedingungen auf nationaler und internationaler Ebene; technologische Entwicklungen und deren Auswirkungen auf die Informationssicherheit; wirtschaftliche Bedingungen im relevanten Marktumfeld und ökologische und physische Umweltbedingungen am Standort der Institution." + } + ] + }, + { + "id": "GC.2.2", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Festlegung des internen Kontextes der Institution", + "props": [ + { + "name": "alt-identifier", + "value": "facd5982-78f3-46d4-ae07-ae1ede72ab46" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "links": [ + { + "href": "#GC.2.1", + "rel": "related" + } + ], + "parts": [ + { + "id": "GC.2.2_stm", + "name": "statement", + "props": [ + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "ein Verfahren zur Sammlung, Integration und Priorisierung aller für das Informationssicherheitsmanagement relevanten internen Rahmenbedingungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Governance und Compliance MUSS ein Verfahren zur Sammlung, Integration und Priorisierung aller für das Informationssicherheitsmanagement relevanten internen Rahmenbedingungen verankern." + }, + { + "id": "GC.2.2_gdn", + "name": "guidance", + "prose": "Analysieren und dokumentieren Sie systematisch alle internen Faktoren, die einen Einfluss auf die Informationssicherheitsziele und -strategie der Institution haben. Dazu zählen institutionseigene Faktoren wie z.B. vorhandene Institutionsstrategien, Werte und Institutionsziele; die Institutionsstruktur mit Hierarchien, Abteilungen und Zuständigkeitsbereichen; die in Ihrer Institution etablierte Prozesse und Arbeitsabläufe; vorhandene IT-Infrastruktur und Informationssysteme und die Institutionskultur und Einstellungen zur Sicherheit." + } + ] + } + ] + }, + { + "id": "GC.3", + "title": "Analyse der interessierten Parteien", + "props": [ + { + "name": "label", + "value": "3" + }, + { + "name": "alt-identifier", + "value": "4b35f8c9-b6f8-490d-859a-056d56c8c538" + } + ], + "controls": [ + { + "id": "GC.3.1", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Analyse der externen interessierten Parteien", + "props": [ + { + "name": "alt-identifier", + "value": "834c85a0-f793-4d6a-8eba-5f26f38979cd" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "links": [ + { + "href": "#GC.3.2", + "rel": "related" + } + ], + "parts": [ + { + "id": "GC.3.1_stm", + "name": "statement", + "props": [ + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "ein Verfahren zum Ermitteln aller externen interessierten Parteien und ihrer Bedürfnisse und Erwartungen an das Informationssicherheitsmanagement der Institution" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Governance und Compliance MUSS ein Verfahren zum Ermitteln aller externen interessierten Parteien und ihrer Bedürfnisse und Erwartungen an das Informationssicherheitsmanagement der Institution verankern." + }, + { + "id": "GC.3.1_gdn", + "name": "guidance", + "prose": "Alle relevanten externen interessierten Parteien sind ermittelt. Die externen interessierten Parteien umfassen beispielsweise: Gesetzgeber, Aufsichtsbehörden, Kunden, Dienstleister, Gesellschaft/Öffentlichkeit. Die Relevanz und Priorität der identifizierten Anforderungen sind zu bewerten und auf Grundlage dessen ist festzulegen, welche dieser Anforderungen als verbindliche Verpflichtungen in das ISMS aufgenommen werden." + } + ] + }, + { + "id": "GC.3.2", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Analyse der internen interessierten Parteien", + "props": [ + { + "name": "alt-identifier", + "value": "491ec81c-443b-4792-83f3-c9f4363c64ce" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "links": [ + { + "href": "#GC.3.1", + "rel": "related" + } + ], + "parts": [ + { + "id": "GC.3.2_stm", + "name": "statement", + "props": [ + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "ein Verfahren zum Ermitteln aller internen interessierten Parteien und ihrer Bedürfnisse und Erwartungen an das Informationssicherheitsmanagement der Institution" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Governance und Compliance MUSS ein Verfahren zum Ermitteln aller internen interessierten Parteien und ihrer Bedürfnisse und Erwartungen an das Informationssicherheitsmanagement der Institution verankern." + }, + { + "id": "GC.3.2_gdn", + "name": "guidance", + "prose": "Alle relevanten externen interessierten Parteien sind ermittelt. Die internen interessierten Parteien umfassen beispielsweise: Geschäftsführung, Mitarbeiter, Führungskräfte, Betriebsrat/Personalrat." + } + ] + } + ] + }, + { + "id": "GC.4", + "title": "Festlegung des Geltungsbereichs", + "props": [ + { + "name": "label", + "value": "4" + }, + { + "name": "alt-identifier", + "value": "68277eed-f2a3-413f-97c8-383561be418e" + } + ], + "controls": [ + { + "id": "GC.4.1", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Festlegung des Geltungsbereichs", + "props": [ + { + "name": "alt-identifier", + "value": "ebff4c7b-77b1-4d08-bc57-37d3ca16242c" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "links": [ + { + "href": "#GC.3.2", + "rel": "required" + }, + { + "href": "#GC.3.1", + "rel": "required" + }, + { + "href": "#GC.2.2", + "rel": "required" + }, + { + "href": "#GC.2.1", + "rel": "required" + } + ], + "parts": [ + { + "id": "GC.4.1_stm", + "name": "statement", + "props": [ + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "den nachvollziehbar abgegrenzten Geltungsbereich" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "nach Freigabe der Institutionsleitung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "festlegen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Governance und Compliance MUSS den nachvollziehbar abgegrenzten Geltungsbereich nach Freigabe der Institutionsleitung festlegen." + }, + { + "id": "GC.4.1_gdn", + "name": "guidance", + "prose": "Definieren und dokumentieren Sie den Geltungsbereich Ihres ISMS. Dieser legt den formalen und organisatorischen Umfang (Scope) fest, in dem das ISMS angewendet wird. Legen Sie fest, welche Institutionsbereiche, Geschäftsprozesse und Tätigkeiten formell zum Geltungsbereich gehören und grenzen Sie infrastrukturell ab, welche Standorte und Systeme innerhalb des Geltungsbereichs liegen; welche externen Partner oder Dienstleister in das ISMS einzubeziehen sind und welche Bereiche bewusst nicht Bestandteil des Geltungsbereichs sind." + } + ] + } + ] + }, + { + "id": "GC.5", + "title": "Prozess der Informationssicherheitseinstufung", + "props": [ + { + "name": "label", + "value": "5" + }, + { + "name": "alt-identifier", + "value": "74e1ef8c-6faf-4741-8731-2cf7785dedbf" + } + ], + "controls": [ + { + "id": "GC.5.1", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Vorgehen bei der Infomationssicherheitseinstufung", + "props": [ + { + "name": "alt-identifier", + "value": "bdbc4d9b-c0d7-4f5a-8e07-ba12b4049625" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "GC.5.1_stm", + "name": "statement", + "props": [ + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "ein Verfahren für die Festlegung von Geschäftsprozessen und die Einstufung des Schutzbedarfs" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "dieser Geschäftsprozesse und den hierbei verarbeiteten Informationen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Governance und Compliance MUSS ein Verfahren für die Festlegung von Geschäftsprozessen und die Einstufung des Schutzbedarfs dieser Geschäftsprozesse und den hierbei verarbeiteten Informationen verankern." + }, + { + "id": "GC.5.1_gdn", + "name": "guidance", + "prose": "Die Informationssicherheitseinstufung dient der systematischen Identifikation des Schutzbedarfs von Geschäftsprozessen und verarbeiteten Informationen. Hierbei wird zwischen dem Schutzbedarf „normal“ und „hoch“ unterschieden. Der prozessorientierte Ansatz stellt die Verbindung zwischen Geschäftsprozessen und Informationen in den Vordergrund." + } + ], + "controls": [ + { + "id": "GC.5.1.1", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Festlegung der Geschäftsprozesse", + "props": [ + { + "name": "alt-identifier", + "value": "b75cea5b-dc1e-4b96-b34a-5053242dabc1" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "links": [ + { + "href": "#GC.4.1", + "rel": "related" + } + ], + "parts": [ + { + "id": "GC.5.1.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Geschäftsprozesse" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Geschäftsprozesse" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die für den Geltungsbereich relevant sind" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "festlegen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Governance und Compliance MUSS die Geschäftsprozesse die für den Geltungsbereich relevant sind festlegen." + }, + { + "id": "GC.5.1.1_gdn", + "name": "guidance", + "prose": "Hierbei kann oft auf bestehende Prozesslandkarten und Managementsysteme zurückgegriffen werden. Besteht noch keine Prozessübersicht in der Institution, so können die technischen und organisatorischen Praktiken als Ausgangsvorschlag für relevante Hilfsprozesse herangezogen werden (siehe Prozessschritt 2 - Anforderungsanalyse)" + } + ] + }, + { + "id": "GC.5.1.2", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Festlegung des Schutzbedarfs", + "props": [ + { + "name": "alt-identifier", + "value": "7a951196-bf44-463f-91b6-8cf140c97e4c" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "links": [ + { + "href": "#GC.5.1.1", + "rel": "required" + } + ], + "parts": [ + { + "id": "GC.5.1.2_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Schutzbedarfsfeststellung" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine Einstufung des Schutzbedarfs der relevanten Geschäftsprozesse und Informationsarten" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "unter Berücksichtigung der Geschäftsziele und in Absprache mit der Institutionsleitung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "festlegen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Governance und Compliance MUSS eine Einstufung des Schutzbedarfs der relevanten Geschäftsprozesse und Informationsarten unter Berücksichtigung der Geschäftsziele und in Absprache mit der Institutionsleitung festlegen." + }, + { + "id": "GC.5.1.2_gdn", + "name": "guidance", + "prose": "Das Ergebnis der Schutzbedarfsfeststellung ist eine Übersicht des Schutzbedarfs der zu verarbeitenden Informationen, sowie der Relevanz der Geschäftsprozesse. Die Einstufung erfolgt dabei in den Stufen „normal“ oder „hoch“. Die Einstufung richtet sich nach der Bedeutung des Geschäftsprozess für die Geschäftsziele oder den gesetzlichen Auftrag der Institution. Priorität für die weitere Abarbeitung hat zunächst der wichtigste Geschäftsprozess, d.h. derjenige Geschäftsprozess, dessen Informationsschutz für den Fortbestand der Institution von essentieller Bedeutung ist. Die Entscheidung darüber, welcher Geschäftsprozess am wichtigsten ist, obliegt der Institutionsleitung. Droht bei einer Verletzung der Vertraulichkeit, Integrität oder Verfügbarkeit von Informationen in diesem Geschäftsprozess ein existenzbedrohender finanzieller oder existenzbedrohender Reputationsschaden, so ist der Schutzbedarf des Prozesses als hoch einzustufen. Das gleiche gilt, wenn ein Geschäftsprozess oder eine Information, als (VS-)Vertraulich eingestuft wird." + } + ] + }, + { + "id": "GC.5.1.3", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Geschäftsprozesse mit hohem Schutzbedarf", + "props": [ + { + "name": "alt-identifier", + "value": "c86010f0-6e07-429a-a203-529ebdc6c99a" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "links": [ + { + "href": "#GC.5.1.2", + "rel": "required" + } + ], + "parts": [ + { + "id": "GC.5.1.3_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Risikobewertung" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine dedizierte Risikobetrachtung von Geschäftsprozessen oder Informationsarten mit hohem Schutzbedarf" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "ausführen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Governance und Compliance MUSS eine dedizierte Risikobetrachtung von Geschäftsprozessen oder Informationsarten mit hohem Schutzbedarf ausführen." + }, + { + "id": "GC.5.1.3_gdn", + "name": "guidance", + "prose": "In einem separaten Dokument zur Risikobetrachtung werden verbindliche Vorgaben an die Risikomethodik vorgeschrieben." + } + ] + } + ] + } + ] + }, + { + "id": "GC.6", + "title": "Entwicklung einer Sicherheitsleitlinie", + "props": [ + { + "name": "label", + "value": "6" + }, + { + "name": "alt-identifier", + "value": "330c95ba-022d-4de5-91f6-58557e18a660" + } + ], + "controls": [ + { + "id": "GC.6.1", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Festlegung von Zielen für die Informationssicherheit", + "props": [ + { + "name": "alt-identifier", + "value": "551fec73-dce4-4f34-b41d-555142b09cf7" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "GC.6.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Informationssicherheitsstrategie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "konkrete und messbare Ziele für die Informationssicherheit" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "auf Basis der identifizierten Rahmenbedingungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "festlegen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Governance und Compliance MUSS konkrete und messbare Ziele für die Informationssicherheit auf Basis der identifizierten Rahmenbedingungen festlegen." + }, + { + "id": "GC.6.1_gdn", + "name": "guidance", + "prose": "Die Ziele sollten Bezug zu den Geschäftszielen der Institution aufweisen und müssen messbar und konkret sein, z. B.: 98% der aktiven Endgeräte im Netzwerk der Institution verfügen über eine aktuelle Antivirensoftware, deren Signaturdatenbank nicht älter als 24 Stunden ist. Die Ziele sollten die Anforderungen der interessierten Parteien sowie den Kontext berücksichtigen." + } + ], + "controls": [ + { + "id": "GC.6.1.1", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Festlegung einer Sicherheitsstrategie", + "props": [ + { + "name": "alt-identifier", + "value": "a13fb400-1756-4708-b212-502d284c4308" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "links": [ + { + "href": "#GC.6.1", + "rel": "required" + } + ], + "parts": [ + { + "id": "GC.6.1.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Informationssicherheitsstrategie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine grundlegende Strategie zur Erreichung der Ziele für die Informationssicherheit" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "gemeinsam mit der Institutionsleitung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "festlegen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Governance und Compliance SOLLTE eine grundlegende Strategie zur Erreichung der Ziele für die Informationssicherheit gemeinsam mit der Institutionsleitung festlegen." + }, + { + "id": "GC.6.1.1_gdn", + "name": "guidance", + "prose": "Die Sicherheitsstrategie legt fest, wie die Organisation die Ziele erreichen möchte und fokussiert inbesondere den übergeordneten Ansatz und die Prinzipien." + } + ] + }, + { + "id": "GC.6.1.2", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Verpflichtung der Institutionsleitung", + "props": [ + { + "name": "alt-identifier", + "value": "8b3ae6fa-4bd0-4d81-babe-7792c63b9989" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Führungsverantwortung" + } + ], + "parts": [ + { + "id": "GC.6.1.2_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Leitungsentscheidung" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Verpflichtung der Institutionsleitung" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "formal" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "zuweisen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Governance und Compliance MUSS die Verpflichtung der Institutionsleitung formal zuweisen." + }, + { + "id": "GC.6.1.2_gdn", + "name": "guidance", + "prose": "Die Verpflichtung der Institutionsleitung beinhaltet die Übernahme der Gesamtverantwortung, die Bestätigung und Überwachung der Informationssicherheitsziele bezüglich der Organisationsziele und die Förderung des ISMS. Die Förderung des ISMS erfolgt durch Beteiligung (z. B. Führungsentscheidungen), Bestätigung der Informationssicherheitsorganisation, Unterstützung der Integration des ISMS, Bereitstellung von Ressourcen (z. B. finanzielle, personelle, technische, infrastrukturelle) und die Unterstützung der kontinuierlichen Verbesserung." + } + ] + }, + { + "id": "GC.6.1.3", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Erstellung einer Sicherheitsleitlinie", + "props": [ + { + "name": "alt-identifier", + "value": "af7b68e3-ac36-4876-a1ea-80d38407f1c1" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "GC.6.1.3_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Informationssicherheitsleitlinie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine für die Institution passende Sicherheitsleitlinie" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "festlegen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Governance und Compliance MUSS eine für die Institution passende Sicherheitsleitlinie festlegen." + }, + { + "id": "GC.6.1.3_gdn", + "name": "guidance", + "prose": "Die Sicherheitsleitlinie ist ein zentrales Dokument, welches an alle Mitarbeitenden kommuniziert werden muss. Sie dient als Orientierung für alle sicherheitsrelevanten Entscheidungen und Aktivitäten und fördern ein gemeinsames Verständnis der Bedeutung und Ausrichtung der Informationssicherheit. Die Leitlinie für Informationssicherheit enthält insbesondere die Gesamtverantwortung und Verpflichtung der Institutionsleitung, Informationssicherheitsziele, eine Informationssicherheitsstrategie, die Benennung der Rollen und Zuständigkeiten sowie die Verpflichtung zur kontinuierlichen Verbesserung." + } + ] + }, + { + "id": "GC.6.1.4", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Freigabe der Sicherheitsleitlinie", + "props": [ + { + "name": "alt-identifier", + "value": "230dbdf5-8328-4629-8734-1b2f4288d5eb" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Führungsverantwortung" + } + ], + "links": [ + { + "href": "#GC.6.1.3", + "rel": "required" + } + ], + "parts": [ + { + "id": "GC.6.1.4_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Informationssicherheitsleitlinie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die festgelegte Sicherheitsleitlinie" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "durch die Institutionsleitung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "autorisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Governance und Compliance MUSS die festgelegte Sicherheitsleitlinie durch die Institutionsleitung autorisieren." + } + ] + } + ] + } + ] + }, + { + "id": "GC.7", + "title": "Implementierung des Compliance-Managements", + "props": [ + { + "name": "label", + "value": "7" + }, + { + "name": "alt-identifier", + "value": "2889d7fd-4859-4352-9037-3d6a9ace7aa4" + } + ], + "controls": [ + { + "id": "GC.7.1", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Verfahren und Regelungen", + "props": [ + { + "name": "alt-identifier", + "value": "de07bcb3-2a0b-44d4-bd3f-eca08ce44992" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Compliance Management" + } + ], + "links": [ + { + "href": "#PERF.2.1", + "rel": "related" + } + ], + "parts": [ + { + "id": "GC.7.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Compliance-Verpflichtungen" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "ein Verfahren zur Sammlung, Integration und Priorisierung aller für das Informationssicherheitsmanagement relevanten Rahmenbedingungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Governance und Compliance MUSS ein Verfahren zur Sammlung, Integration und Priorisierung aller für das Informationssicherheitsmanagement relevanten Rahmenbedingungen verankern." + }, + { + "id": "GC.7.1_gdn", + "name": "guidance", + "prose": "Das Compliance Management stellt sicher, dass alle gesetzlichen, regulatorischen und vertraglichen Verpflichtungen im Bereich der Informationssicherheit eingehalten werden. Identifizieren, überwachen und bewerten Sie Verpflichtungen, um rechtliche Konsequenzen, finanzielle Verluste oder Reputationsschäden zu vermeiden. Aufgrund der hohen Komplexität des modernen Rechts ist für die Rechtspflege eine eigene Rechtsabteilung oder die Beauftragung von Mitgliedern der rechtsberatenden Berufe zweckmäßig. Die bei der Festlegung des Verfahrens im Einzelnen zu berücksichtigenden Inhalte ergeben sich aus den Anforderungen dieser Praktik." + } + ], + "controls": [ + { + "id": "GC.7.1.1", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Gesetzliche Verpflichtungen", + "props": [ + { + "name": "alt-identifier", + "value": "02747a0f-cd38-4815-9eec-351ae89dbdfe" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Compliance Management, Inventories" + } + ], + "parts": [ + { + "id": "GC.7.1.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Compliance-Verpflichtungen" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Analyse der gesetzlichen Verpflichtungen, welche die Verarbeitung von Informationen durch die Institution betreffen," + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "ausführen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Governance und Compliance SOLLTE die Analyse der gesetzlichen Verpflichtungen, welche die Verarbeitung von Informationen durch die Institution betreffen, ausführen." + }, + { + "id": "GC.7.1.1_gdn", + "name": "guidance", + "prose": "Gesetzliche Verpflichtungen, welche die Verarbeitung von Informationen durch die Institution betreffen, sind dokumentiert. Gesetzliche Verpflichtungen meint alle Pflichten, die sich unmittelbar aus dem Recht ergeben, inklusive des Verfassungsrechts, Europarechts und Verordnungen. Relevante gesetzliche Verpflichtungen können sich je nach Institution z. B. aus Grundrechten, Cyber Resilience Act, Data Act, Data Markets Act, NIS, DSGVO, BDSG, TKG, TDDDG oder GeschGehG ergeben. Beachten Sie dabei auch Verpflichtungen, die sich mittelbar auswirken wie die Arbeitsstättenverordnung oder allgemeine Regelungen zur Fürsorgepflicht." + } + ] + }, + { + "id": "GC.7.1.2", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Anhörung zuständiger Stellen", + "props": [ + { + "name": "alt-identifier", + "value": "3d677306-5748-405a-b5f3-cdc2939e7d14" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Compliance Management" + } + ], + "parts": [ + { + "id": "GC.7.1.2_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Compliance-Verpflichtungen" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "für die Einhaltung gesetzlicher Verpflichtungen in der Informationsverarbeitung zuständige Stellen in der Institution" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "anhören" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Governance und Compliance SOLLTE für die Einhaltung gesetzlicher Verpflichtungen in der Informationsverarbeitung zuständige Stellen in der Institution anhören." + }, + { + "id": "GC.7.1.2_gdn", + "name": "guidance", + "prose": "Für die Einhaltung gesetzlicher Verpflichtungen in der Informationsverarbeitung zuständige Stellen in der Institution wurden bei der Dokumentation der Compliance-Verpflichtungen angehört. Hierunter können z. B. Rechtsabteilung, Datenschutzbeauftragte, Brandschutzbeauftragte oder Fachverantwortliche bei branchenspezifischen Vorschriften fallen." + } + ] + }, + { + "id": "GC.7.1.3", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Vertragliche Verpflichtungen", + "props": [ + { + "name": "alt-identifier", + "value": "fc2115c2-43fe-4b22-88c5-b28784174936" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Compliance Management" + } + ], + "parts": [ + { + "id": "GC.7.1.3_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Compliance-Verpflichtungen" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Zusammenstellung vertraglicher Verpflichtungen, welche die Verarbeitung von Informationen durch die Institution betreffen," + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Governance und Compliance SOLLTE die Zusammenstellung vertraglicher Verpflichtungen, welche die Verarbeitung von Informationen durch die Institution betreffen, dokumentieren." + }, + { + "id": "GC.7.1.3_gdn", + "name": "guidance", + "prose": "Vertragliche Verpflichtungen, welche die Verarbeitung von Informationen durch die Institution betreffen, sind dokumentiert. Vertragliche Verpflichtungen meint alle Pflichten, die sich aus rechtlich bindenden Vereinbarungen ergeben, unabhängig davon, ob diese als Vertrag bezeichnet werden oder nicht." + } + ] + }, + { + "id": "GC.7.1.4", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Prävention von Verstößen", + "props": [ + { + "name": "alt-identifier", + "value": "6874056a-4f01-497d-8ef4-0411a55671e7" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Compliance Management" + } + ], + "parts": [ + { + "id": "GC.7.1.4_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Arbeitsanweisung" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Verfahren zur Prävention gegen Verstöße" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Governance und Compliance SOLLTE Verfahren zur Prävention gegen Verstöße verankern." + }, + { + "id": "GC.7.1.4_gdn", + "name": "guidance", + "prose": "Verfahren können z. B. zielgruppengerechte Schulungen der für die Umsetzung und Einhaltung zuständigen Personen, die Berücksichtigung der Compliance-Verpflichtungen bei Freigabe- und Testprozessen sowie die Förderung einer konstruktiven Fehlerkultur sein." + } + ] + } + ] + } + ] + }, + { + "id": "GC.8", + "title": "Sicherheitsorganisation und Rollen", + "props": [ + { + "name": "label", + "value": "8" + }, + { + "name": "alt-identifier", + "value": "c04122d4-3c02-4c27-bd26-e63f0534d0bd" + } + ], + "controls": [ + { + "id": "GC.8.1", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Verfahren zur Ressourcenplanung", + "props": [ + { + "name": "alt-identifier", + "value": "4378f5ac-3387-408e-974a-b04e5079c372" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "links": [ + { + "href": "#GC.6.1.2", + "rel": "related" + } + ], + "parts": [ + { + "id": "GC.8.1_stm", + "name": "statement", + "props": [ + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "ein Verfahren zur kontinuierlichen, wirtschaftlichen Planung von Ressourcen für das ISMS" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Governance und Compliance MUSS ein Verfahren zur kontinuierlichen, wirtschaftlichen Planung von Ressourcen für das ISMS verankern." + }, + { + "id": "GC.8.1_gdn", + "name": "guidance", + "prose": "Die Ressourcenplanung berücksichtigt die personellen, finanziellen und materiellen bzw. technischen Ressourcen." + } + ], + "controls": [ + { + "id": "GC.8.1.1", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Festlegung von Rollen und Zuständigkeiten", + "props": [ + { + "name": "alt-identifier", + "value": "5cc59bb1-af0d-457f-a548-03373447fec7" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "GC.8.1.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Tätigkeits- & Rollenbeschreibung" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Rollen und Zuständigkeiten im Rahmen des ISMS" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "inklusive ihrer Kompetenzen bzw. Befugnisse" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "zuweisen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Governance und Compliance MUSS die Rollen und Zuständigkeiten im Rahmen des ISMS inklusive ihrer Kompetenzen bzw. Befugnisse zuweisen." + }, + { + "id": "GC.8.1.1_gdn", + "name": "guidance", + "prose": "Im Rahmen des ISMS sind die Rollen hinsichtlich der Aufgaben, der dafür notwendigen Qualifikation und der notwendigen Befugnisse festgelegt. Eine zentrale Rolle wäre beispielsweise der \"Informationssicherheitsbeauftragte\" (ISB)." + } + ], + "controls": [ + { + "id": "GC.8.1.1.1", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Informationssicherheitsbeauftragter", + "params": [ + { + "id": "gc.8.1.1.1-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "96ebe8f3-2419-45d0-b981-dc973d21c17c" + } + ], + "label": "einer unabhängigen Person" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "96ebe8f3-2419-45d0-b981-dc973d21c17c" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "GC.8.1.1.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Sicherheitsorganisation" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Rolle des Informationssicherheitsbeauftragten {{einer unabhängigen Person}}" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": ", welche unmittelbar der Institutionsleitung unterstellt ist," + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "zuweisen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Governance und Compliance MUSS die Rolle des Informationssicherheitsbeauftragten {{ insert: param, gc.8.1.1.1-prm1 }} , welche unmittelbar der Institutionsleitung unterstellt ist, zuweisen." + }, + { + "id": "GC.8.1.1.1_gdn", + "name": "guidance", + "prose": "Informationssicherheit liegt in der Verantwortung der Institutionsleitung. Die operative Aufgabe „Informationssicherheit“ wird an einen Informationssicherheitsbeauftragten (ISB) delegiert, der diese Aufgabe innerhalb der Institution koordiniert und vorantreibt. Daher ist diese Rolle in jeder Institution (unabhängig von Art und Größe) zu besetzen. Je nach Art und Ausrichtung der Institution wird der ISB anders genannt. Häufige Titel sind neben dem Informationssicherheitsbeauftragten, Chief Information Security Officer (CISO) oder Informationssicherheitsmanager (ISM). Die Hauptaufgabe des ISB besteht darin, die Institutionsleitung bei deren Aufgabenwahrnehmung bezüglich der Informationssicherheit zu beraten und diese bei der Umsetzung zu unterstützen. Zu den ISB-Aufgaben gehört es u.a., den Sicherheitsprozess operativ zu steuern und zu koordinieren, die Institutionsleitung bei der Erstellung der Sicherheitsleitlinie zu unterstützen, die Erstellung des Sicherheitskonzepts und zugehöriger Teilkonzepte und Richtlinien zu koordinieren, den Umsetzungsplan für Sicherheitsmaßnahmen anzufertigen, sowie ihre Umsetzung zu initiieren und zu überprüfen, der Institutionsleitung und anderen Sicherheitsverantwortlichen über den Status der Informationssicherheit zu berichten, sicherheitsrelevante Projekte zu koordinieren, sicherheitsrelevante Vorfälle zu untersuchen, sowie Sensibilisierungen und Schulungen zur Informationssicherheit zu initiieren und zu koordinieren." + } + ], + "controls": [ + { + "id": "GC.8.1.1.1.1", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Vorspracherecht des Informationssicherheitsbeauftragten", + "props": [ + { + "name": "alt-identifier", + "value": "2daf1f95-862a-4b5e-9d63-90723384a0df" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "GC.8.1.1.1.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Tätigkeits- & Rollenbeschreibung" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "das direkte Vorspracherecht des ISB bei der Institutionsleitung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Governance und Compliance MUSS das direkte Vorspracherecht des ISB bei der Institutionsleitung verankern." + }, + { + "id": "GC.8.1.1.1.1_gdn", + "name": "guidance", + "prose": "Das Vorspracherecht trägt dazu bei, dass die Institutionsleitung ein vollständiges und unverfälschtes Bild über den Stand der Informationssicherheit erhält. Ohne dieses direkte Vorsprachrecht kann es passieren, dass andere Organisationseinheiten sicherheitsrelevante Informationen in der Weitergabe beeinflussen." + } + ] + } + ] + } + ] + }, + { + "id": "GC.8.1.2", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Stellvertreterregelungen", + "props": [ + { + "name": "alt-identifier", + "value": "0d09d72c-92af-4749-9ce1-a523f0546e46" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "GC.8.1.2_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Geschäftsverteilungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Stellvertreterregelungen für alle relevanten Rollen und Zuständigkeiten im ISMS" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "zuweisen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Governance und Compliance MUSS Stellvertreterregelungen für alle relevanten Rollen und Zuständigkeiten im ISMS zuweisen." + }, + { + "id": "GC.8.1.2_gdn", + "name": "guidance", + "prose": "Eine kontinuierliche Handlungsunfähigkeit der Sicherheitsorganisation kann nur mit Stellvertreterregelungen für alle relevanten Rollen gewährleistet werden." + } + ] + }, + { + "id": "GC.8.1.3", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Vermeidung von Interessenkonflikten", + "props": [ + { + "name": "alt-identifier", + "value": "e57f0e21-92f1-4ddb-8248-e74613905d7d" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "links": [ + { + "href": "#GC.8.1.1", + "rel": "required" + } + ], + "parts": [ + { + "id": "GC.8.1.3_stm", + "name": "statement", + "props": [ + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Maßnahmen zur Vermeidung von Interessenkonflikten bei der Festlegung von Rollen und Zuständigkeiten des ISMS" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "festlegen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Governance und Compliance MUSS Maßnahmen zur Vermeidung von Interessenkonflikten bei der Festlegung von Rollen und Zuständigkeiten des ISMS festlegen." + }, + { + "id": "GC.8.1.3_gdn", + "name": "guidance", + "prose": "Für die Vermeidung von Interessenkonflikten wird insbesondere die Zuordnung konkurrierender Rollen (bspw. ausführender und prüfender oder freigebender Rollen) vermieden. Dies erfolgt beispielsweise durch eine entsprechende Etablierung von Rollen in der Aufbauorganisation (z. B. Informationssicherheitsbeauftragter als Stabtelle). Es können aber auch weitere Maßnahmen (z. B. Vier-Augen-Prinzip) genutzt werden." + } + ] + }, + { + "id": "GC.8.1.4", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Festlegung einer Sicherheitsorganisation", + "props": [ + { + "name": "alt-identifier", + "value": "56907e29-773a-4339-8166-785b68f9c065" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "links": [ + { + "href": "#GC.8.1.1", + "rel": "required" + }, + { + "href": "#GC.8.1.5", + "rel": "required" + } + ], + "parts": [ + { + "id": "GC.8.1.4_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Sicherheitsorganisation" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Sicherheitsorganisation für das ISMS" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "mit den festgelegten Rollen, Zuständigkeiten sowie Gremien" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "festlegen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Governance und Compliance MUSS die Sicherheitsorganisation für das ISMS mit den festgelegten Rollen, Zuständigkeiten sowie Gremien festlegen." + }, + { + "id": "GC.8.1.4_gdn", + "name": "guidance", + "prose": "Ziel der Sicherheitsorganisation ist es, die relevanten Bereiche eines ISMS sowie die relevanten Schnittstellen zu anderen Bereichen (z. B. Datenschutz, physische Sicherheit, Geheimschutz oder Arbeitsschutz) vollständig und wirksam in der Institution zu verankern. Die Sicherheitsorganisation sollte in einem Organigramm oder einer ähnlichen Darstellung zu dokumentiert und abgebildet werden." + } + ] + }, + { + "id": "GC.8.1.5", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Sicherstellung der Qualifikation", + "props": [ + { + "name": "alt-identifier", + "value": "09da6b52-1efc-4c44-98b3-4d9b094fd107" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "GC.8.1.5_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Tätigkeits- & Rollenbeschreibung" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "für jeden Rollen- und Verantwortungsträger die erforderlichen Anforderungen und Fähigkeiten" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "festlegen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Governance und Compliance MUSS für jeden Rollen- und Verantwortungsträger die erforderlichen Anforderungen und Fähigkeiten festlegen." + }, + { + "id": "GC.8.1.5_gdn", + "name": "guidance", + "prose": "Für jeden Rollen- und Verantwortungsträger sind die Anforderungen und Fähigkeiten festgelegt." + } + ] + }, + { + "id": "GC.8.1.6", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Ressourcen für den Informationssicherheitsbeauftragten", + "params": [ + { + "id": "gc.8.1.6-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "b04f2734-0b3f-400f-92cb-08a49fb2960f" + } + ], + "label": "hinreichende" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "b04f2734-0b3f-400f-92cb-08a49fb2960f" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "GC.8.1.6_stm", + "name": "statement", + "props": [ + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "dem Informationssicherheitsbeauftragten {{hinreichende}} Ressourcen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "zuweisen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Governance und Compliance MUSS dem Informationssicherheitsbeauftragten {{ insert: param, gc.8.1.6-prm1 }} Ressourcen zuweisen." + }, + { + "id": "GC.8.1.6_gdn", + "name": "guidance", + "prose": "Zu den Aufgaben des ISB gehören beispielsweise die Beratung der Institutionsleitung zur Informationssicherheit, die Koordinierung der Erstellung von Richtlinien und Sicherheitskonzepten und die Untersuchung von Sicherheitsvorfällen. Ohne ausreichende Ressourcen, können diese Aufgaben nicht wirksam und nachhaltig wahrgenommen werden, was zu Sicherheitsrisiken führen kann. In kleinen Institutionen kann die Funktion des ISB auch von einem qualifizierten Mitarbeiter neben anderen Aufgaben wahrgenommen werden. Maßgeblich ist, dass dem ISB ausreichend Zeit für seine Aufgaben zugebilligt wird und er in keinem Interessenskonflikt mit anderen Aufgaben steht." + } + ] + } + ] + } + ] + }, + { + "id": "GC.9", + "title": "Dokumentation und Kommunikation", + "props": [ + { + "name": "label", + "value": "9" + }, + { + "name": "alt-identifier", + "value": "4958c54f-47a9-4f53-808d-77aca3ca70ef" + } + ], + "controls": [ + { + "id": "GC.9.1", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Festlegung eines Verfahrens zum Kommunikationsmanagement", + "props": [ + { + "name": "alt-identifier", + "value": "b7947004-8b4e-4b64-b73f-df1e790bed19" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "GC.9.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Übersicht der Kommunikationspartner" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "ein Verfahren zum Kommunikationsmanagement" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "hinsichtlich der internen und externen Kommunikation" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Governance und Compliance MUSS ein Verfahren zum Kommunikationsmanagement hinsichtlich der internen und externen Kommunikation verankern." + }, + { + "id": "GC.9.1_gdn", + "name": "guidance", + "prose": "Für die relevante Kommunikation im Rahmen eines ISMS sind die Eckpunkte (wer, wann, mit wem, wie) festgelegt. Dies beinhaltet ebenfalls die Identifikation der relevanten Behörden und der relevanten Kontakte sowie die Festlegung von Zuständigkeiten für die Kommunikation." + } + ], + "controls": [ + { + "id": "GC.9.1.1", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Externer Austausch zur Informationssicherheit", + "props": [ + { + "name": "alt-identifier", + "value": "4fb02efc-1b80-497d-af10-77433319be96" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + } + ], + "parts": [ + { + "id": "GC.9.1.1_stm", + "name": "statement", + "props": [ + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "einen externen Austausch zur Informationssicherheit" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "ausführen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Governance und Compliance SOLLTE einen externen Austausch zur Informationssicherheit ausführen." + }, + { + "id": "GC.9.1.1_gdn", + "name": "guidance", + "prose": "Um auch andere Perspektiven wahrzunehmen und Eindrücke zu erhalten, findet ein externer Austausch statt. Hierzu können beispielsweise Branchenverbände, Fachforen oder andere Einrichtungen genutzt werden." + } + ] + }, + { + "id": "GC.9.1.2", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Kommunikation im Projektmanagement", + "params": [ + { + "id": "gc.9.1.2-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "6ccbc3f1-0984-4b12-86f2-708d40e9b635" + } + ], + "label": "der relevanten Sicherheitsorgane" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "6ccbc3f1-0984-4b12-86f2-708d40e9b635" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "GC.9.1.2_stm", + "name": "statement", + "props": [ + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "bei sicherheitsrelevanten Projekten die Beteiligung {{der relevanten Sicherheitsorgane}}" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "zu festgelegten Zeitpunkten im Projektverlauf" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Governance und Compliance MUSS bei sicherheitsrelevanten Projekten die Beteiligung {{ insert: param, gc.9.1.2-prm1 }} zu festgelegten Zeitpunkten im Projektverlauf verankern." + }, + { + "id": "GC.9.1.2_gdn", + "name": "guidance", + "prose": "Bei allen Projekten, die Auswirkungen auf die Informationsverarbeitung haben, ist eine frühzeitige Beteiligung des ISB (und ggfs. weiterer sicherheitsrelevanter Organe) von wesentlicher Bedeutung. Beispiele für sicherheitsrelevante Projekte sind die Einführung eines neuen IT-Systems oder einer neuen Software. Beispiele für geeignete Zeitpunkte der Beteiligung sind etwa während der Beschaffung oder vor der Produktivsetzung." + } + ] + }, + { + "id": "GC.9.1.3", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Dokumentenlenkung", + "props": [ + { + "name": "alt-identifier", + "value": "9cc14941-253d-4bfa-89f6-8902370cc509" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "GC.9.1.3_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Richtlinie zur Lenkung von Dokumenten und Aufzeichnungen" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "ein Verfahren zur Lenkung der Dokumente im Rahmen des ISMS" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "über den kompletten Lebenszyklus von Dokumenten" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Governance und Compliance MUSS ein Verfahren zur Lenkung der Dokumente im Rahmen des ISMS über den kompletten Lebenszyklus von Dokumenten verankern." + }, + { + "id": "GC.9.1.3_gdn", + "name": "guidance", + "prose": "Ziel eines Verfahrens zur Dokumentenlenkung ist die Sicherstellung der Nachvollziehbarkeit von Dokumenten. Das Verfahren stellt hierbei die Nachvollziehbarkeit über den gesamten Lebenszyklus des Dokuments sicher. Dies beinhaltet die Erstellung bzw. Übernahme (z. B. aus \"Alt-Dokumenten\" oder externen Dokumenten) der Dokumente mit Titel, Autor, Dokumenteneigentümer, Sicherheitsklassifikation, Erstelldatum sowie einheitlicher Formate. Des Weiteren beinhaltet dies die Steuerung mit einem Änderungsmanagement (Versionierung), einer einheitlichen Veröffentlichung, einer angemessen geschützten Ablage und ggf. auch Archivierung sowie einer Rücknahme." + } + ] + } + ] + } + ] + }, + { + "id": "GC.10", + "title": "Festlegung und Freigabe der Vorgehensweise", + "props": [ + { + "name": "label", + "value": "10" + }, + { + "name": "alt-identifier", + "value": "1059d695-552e-49f9-ac41-2f2b3e40e3d4" + } + ], + "controls": [ + { + "id": "GC.10.1", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Festlegung von Vorgehensweisen", + "props": [ + { + "name": "alt-identifier", + "value": "4b2b03f6-103d-4435-9edc-27cd961e2361" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "links": [ + { + "href": "#GC.11.1", + "rel": "related" + } + ], + "parts": [ + { + "id": "GC.10.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "ISMS-Regelwerk" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Verfahren des ISMS sowie die Zuständigkeiten" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "festlegen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Governance und Compliance MUSS die Verfahren des ISMS sowie die Zuständigkeiten festlegen." + }, + { + "id": "GC.10.1_gdn", + "name": "guidance", + "prose": "Der Umfang der Dokumentation der Verfahren ist der Größe und Komplexität der Institution angemessen. Die Verfahren beinhalten insbesondere die Risikobetrachtung, die Etablierung von Änderungen im ISMS, die Dokumentenlenkung, die Leistungsbewertung und Auditierung, kontinuierliche Verbesserung sowie reaktive Verfahren (Sicherheitsvorfallbehandlung, Notfallmanagement). In kleineren Institutionen kann dies beispielsweise in einem Dokument erfolgen. In größeren Institutionen kann die Etablierung von Prozessen hierfür erforderlich sein." + } + ] + }, + { + "id": "GC.10.2", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Freigabe von Vorgehensweisen", + "props": [ + { + "name": "alt-identifier", + "value": "d6d44aa6-9010-40f0-9c3b-cc568b951410" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "links": [ + { + "href": "#GC.10.1", + "rel": "required" + } + ], + "parts": [ + { + "id": "GC.10.2_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Managementbericht" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Verfahren für das ISMS" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "durch die Institutionsleitung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "autorisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Governance und Compliance MUSS die Verfahren für das ISMS durch die Institutionsleitung autorisieren." + }, + { + "id": "GC.10.2_gdn", + "name": "guidance", + "prose": "Die Freigabe des Prozesses der ISMS-Verfahren erfolgt durch die Institutionsleitung. Diese Freigabe sollte dokumentiert werden, um Verbindlichkeit und Nachvollziehbarkeit sicherzustellen. Beispielsweise kann diese Freigabe durch die Vorlage eines Managementberichts eingeholt werden" + } + ] + } + ] + }, + { + "id": "GC.11", + "title": "Initiierung des Risikomanagements", + "props": [ + { + "name": "label", + "value": "11" + }, + { + "name": "alt-identifier", + "value": "94bc3dbf-4a44-43a4-8710-3ad958f4d109" + } + ], + "controls": [ + { + "id": "GC.11.1", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Methodik für das Risikomanagement", + "props": [ + { + "name": "alt-identifier", + "value": "0567f921-f474-4060-9a64-11e5148ebe09" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "links": [ + { + "href": "#GC.10.1", + "rel": "related" + } + ], + "parts": [ + { + "id": "GC.11.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Risikobewertung" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine einheitliche Methodik für das Informationssicherheitsrisikomanagement" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "auf Basis des Kontextes der Institution und der Anforderungen interessierter Parteien sowie der daraus hergeleiteten Risikoziele" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Governance und Compliance MUSS eine einheitliche Methodik für das Informationssicherheitsrisikomanagement auf Basis des Kontextes der Institution und der Anforderungen interessierter Parteien sowie der daraus hergeleiteten Risikoziele verankern." + }, + { + "id": "GC.11.1_gdn", + "name": "guidance", + "prose": "Das Risikomanagement stellt sicher, dass Risiken systematisch identifiziert, eingeschätzt, bewertet und behandelt werden. Die Festlegung einheitlicher Kriterien für, Risikoeinschätzung, Risikobewertung und Risikobehandlung, sowie die Rolle des Risikoeigentümers sorgen für Transparenz und Verbindlichkeit. Die Risikomanagementmethodik kann frei gewählt werden. In einem separaten Dokument zur Risikobetrachtung werden verbindliche Vorgaben an die Risikomethodik vorgeschrieben. Die Vorgaben sind entsprechend gängiger Risikomanagement-Prozesse strukturiert." + } + ] + } + ] + } + ] + }, + { + "id": "STM", + "title": "Strukturmodellierung", + "props": [ + { + "name": "label", + "value": "STM", + "remarks": "Die Praktik Strukturmodellierung bildet die Grundlage für eine systematische Analyse der Informationssicherheit einer Institution. Ziel der Strukturmodellierung ist aus dem Stand-der-Technik-Kompendium ein individuelles Anforderungspaket für die Institution zu generieren. Auf Basis der Geschäftsprozesse und Informationen wird der individuelle Schutzbedarf festgelegt. Mit der Zuordnung einzelner Praktiken und Zielobjekte erfolgen eine Auswahl von Anforderungen auf der Grundlage des vorgegebenen Schutzniveaus. Blaupausen unterstützen die Filterung der Anforderungen. Eine Klassifizierung des Schutzbedarfs der Zielobjekte erfolgt auf Anforderungsebene. Die individuelle Anpassung der Anforderungen durch Auswahlmöglichkeiten erleichtern eine Skalierung. Eine Erweiterung des Anforderungspakets durch spezifische Anforderungen erhöht die Flexibilität. Für diese Anforderungen ist eine Risikobetrachtung erforderlich. Die Strukturmodellierung liefert essentielle Eingangsdaten für die nachgelagerten Praktiken wie Umsetzung und Monitoring-Evaluation und ermöglicht eine zielgerichtete und risikoorientierte Planung von Anforderungen und Sicherheitsmaßnahmen." + }, + { + "name": "alt-identifier", + "value": "deba3c17-15a1-450e-84a9-129ac73b0b84" + } + ], + "groups": [ + { + "id": "STM.1", + "title": "Definition und Abgrenzung des Informationsverbunds", + "props": [ + { + "name": "label", + "value": "1" + }, + { + "name": "alt-identifier", + "value": "ecd8ab64-23ff-45b1-bbad-b00c4fe7237a" + } + ], + "controls": [ + { + "id": "STM.1.1", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Definition und Abgrenzung des Informationsverbunds", + "props": [ + { + "name": "alt-identifier", + "value": "cba2f75c-95f5-4398-9a8b-7773bdcd1c7d" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "links": [ + { + "href": "#GC.4.1", + "rel": "required" + } + ], + "parts": [ + { + "id": "STM.1.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Informationsverbund" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "den nachvollziehbar abgegrenzten Informationsverbund" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "auf Basis des Geltungsbereichs" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "festlegen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Strukturmodellierung MUSS den nachvollziehbar abgegrenzten Informationsverbund auf Basis des Geltungsbereichs festlegen." + }, + { + "id": "STM.1.1_gdn", + "name": "guidance", + "prose": "Definieren und dokumentieren Sie den Informationsverbund. Dieser bildet den Geltungsbereich inhaltlich-technisch ab und umfasst die informationsverarbeitenden Systeme, Prozesse und Komponenten, die innerhalb des festgelegten Geltungsbereichs betrachtet werden. Dokumentieren Sie, welche Institutionsbereiche, Rollen und Personen zum Informationsverbund gehören für die organisatorische Abgrenzung. Grenzen Sie zusätzlich aus technischer Perspektive ab, welche Anwendungen, Systeme und Netze Bestandteil Ihres Informationsverbundes sind. Dokumentieren Sie weiterhin, welche Betriebsanteile an externe Parteien outgessourced - bsw. welche Cloud-Dienste genutzt - werden. In der Praxis kann es in einem Geltungsbereich auch mehrere Informationsverbünde geben." + } + ] + }, + { + "id": "STM.1.2", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Dokumentation der externen Schnittstellen", + "props": [ + { + "name": "alt-identifier", + "value": "c30d414e-65e5-460e-8239-892f9a196a1f" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "links": [ + { + "href": "#STM.1.1", + "rel": "required" + } + ], + "parts": [ + { + "id": "STM.1.2_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Informationsverbund" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Schnittstellen des Informationsverbunds" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "zu externen Prozessen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "festlegen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Strukturmodellierung MUSS Schnittstellen des Informationsverbunds zu externen Prozessen festlegen." + }, + { + "id": "STM.1.2_gdn", + "name": "guidance", + "prose": "Im Informationsverbund sind die organisatorischen, technischen und infrastrukturellen Schnittstellen dargestellt. Für eine eindeutige Abgrenzung sind im Informationsverbund die Schnittstellen definiert. Wie bei der Beschreibung des Informationsverbunds selbst, sind auch hier organisatorische, technische sowie infrastrukturelle Schnittstellen berücksichtigt." + } + ] + } + ] + }, + { + "id": "STM.2", + "title": "Erstellung eines Anforderungspakets", + "props": [ + { + "name": "label", + "value": "2" + }, + { + "name": "alt-identifier", + "value": "296d10e0-e54b-4c31-aadf-1307d5d9d3ba" + } + ], + "controls": [ + { + "id": "STM.2.1", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Erstellung eines Anforderungspakets", + "props": [ + { + "name": "alt-identifier", + "value": "c6fb5790-0490-48b6-b409-286915a08353" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "STM.2.1_stm", + "name": "statement", + "props": [ + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "in ein zu erstellendes Anforderungspaket alle Anforderungen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die für den berachteten Informationsverbund relevant sind" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "platzieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Strukturmodellierung MUSS in ein zu erstellendes Anforderungspaket alle Anforderungen die für den berachteten Informationsverbund relevant sind platzieren." + }, + { + "id": "STM.2.1_gdn", + "name": "guidance", + "prose": "Das Anforderungspaket enthält alle Anforderungen, die für den betrachteten Informationsverbund und den priorisierten Geschäftsprozesse relevant sind sowie wenn erforderlich zusätzlichen Anforderungen. Diese Anforderung dient der grundsätzlichen Vorgabe ein Anforderungspaket zu erstellen. Weitere Details sind den folgenden Anforderungen dieser Praktik zu entnehmen." + } + ] + } + ] + }, + { + "id": "STM.3", + "title": "ISMS-Anforderungen des Informationsverbundes", + "props": [ + { + "name": "label", + "value": "3" + }, + { + "name": "alt-identifier", + "value": "4b1393ff-95df-4296-8420-c3555becc9ed" + } + ], + "controls": [ + { + "id": "STM.3.1", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "ISMS-Anforderungen des Informationsverbundes", + "props": [ + { + "name": "alt-identifier", + "value": "92bc2497-1440-4718-b35b-9648b3efc4fd" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "STM.3.1_stm", + "name": "statement", + "props": [ + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "alle Anforderungen der ISMS-Praktiken" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "modelliert auf den vorliegenden Informationsverbund" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "platzieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Strukturmodellierung MUSS alle Anforderungen der ISMS-Praktiken modelliert auf den vorliegenden Informationsverbund platzieren." + }, + { + "id": "STM.3.1_gdn", + "name": "guidance", + "prose": "Neben den zielobjektgebundenen Anforderungen enthält das Kompendium-GS++ auch Anforderungen ohne explizite Zielobjektzuordnung. Diese werden im Anforderungspaket ergänzend berücksichtigt. Für die Anforderungen der ISMS-Praktiken (GC, STM, PERF, VRB, UMS) gilt dabei Folgendes: Die Anforderungen der ISMS-Praktiken sind übergreifend und keinem einzelnen Zielobjekt zugewiesen. Sie bauen den PDCA-Zyklus des Managementsystems auf und gelten deshalb einmalig für den gesamten Informationsverbund. Alle Anforderungen der ISMS-Praktiken werden ohne weitere Selektion auf den Informationsverbund modelliert. Sie werden als „verbundweite Anforderungen“ im Anforderungspaket geführt, da sie Governance-, Steuerungs-, Kontroll- und Verbesserungsprozesse definieren." + } + ] + } + ] + }, + { + "id": "STM.4", + "title": "Asset-Modellierung", + "props": [ + { + "name": "label", + "value": "4" + }, + { + "name": "alt-identifier", + "value": "6cdaddf7-6c9c-4335-b69f-5a973cfddf5f" + } + ], + "controls": [ + { + "id": "STM.4.1", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Erfassung relevanter Assets", + "props": [ + { + "name": "alt-identifier", + "value": "10e75c93-320b-4d4d-baaa-ed7392b274cf" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "STM.4.1_stm", + "name": "statement", + "props": [ + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "alle relevanten Assets für die betrachteten Geschäftsprozesse" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "modelliert auf den vorliegenden Informationsverbund" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "festlegen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Strukturmodellierung MUSS alle relevanten Assets für die betrachteten Geschäftsprozesse modelliert auf den vorliegenden Informationsverbund festlegen." + }, + { + "id": "STM.4.1_gdn", + "name": "guidance", + "prose": "Die Asset-Modellierung ist der zentrale Schritt, um den zuvor festgelegten Informationsverbund strukturiert und nachvollziehbar in sicherheitsrelevante Bestandteile zu zerlegen. Ziel ist es, die für den betrachteten Geschäftsprozess relevanten Assets zu identifizieren, zu dokumentieren und so zu modellieren, dass daraus automatisiert oder manuell passende Anforderungen abgeleitet werden können. Assets sind dabei alle materiellen oder immateriellen Werte, die zur Aufgabenerfüllung und zur Erreichung der Geschäftsziele benötigt werden. Die Asset-Modellierung fokussiert auf jene Assets, die im Rahmen der priorisierten Geschäftsprozesse Informationen verarbeiten, speichern, übertragen oder deren Schutz unterstützen. Relevante Assets können insbesondere Informationswerte, Systeme und Anwendungen (System Assets), Netz- und Kommunikationskomponenten,\tinfrastrukturelle und physische Assets sowie personelle und organisatorische Assets sein" + } + ] + }, + { + "id": "STM.4.2", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Dokumentation relevanter Assets", + "props": [ + { + "name": "alt-identifier", + "value": "9a63c78e-a5bb-4d89-a02f-0cf7abdaba40" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "links": [ + { + "href": "#STM.4.1", + "rel": "required" + } + ], + "parts": [ + { + "id": "STM.4.2_stm", + "name": "statement", + "props": [ + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "alle Assets mit Relevanz für die betrachteten Geschäftsprozesse" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Strukturmodellierung MUSS alle Assets mit Relevanz für die betrachteten Geschäftsprozesse dokumentieren." + }, + { + "id": "STM.4.2_gdn", + "name": "guidance", + "prose": "Für die Dokumentation kann auf vorhandene Assetdaten/-register und digitale erfasste Systemdaten zurückgegriffen werden. Für jedes Asset sollten die eindeutige Bezeichnung/ID, eiine kurze Beschreibung des Assets und seines Zwecks, die Zuordnung zu Geschäftsprozessen, der/ die verantwortliche Rolle bzw. Asset-Owner und letztlich ggf. der Standort bzw. logische Einordnung (Netz, Anwendungskontext etc.) sowie vorhandene Abhängigkeiten zu anderen Assets dokumentiert werden." + } + ] + }, + { + "id": "STM.4.3", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Mapping des Assets auf die Zielobjektkategorien", + "props": [ + { + "name": "alt-identifier", + "value": "1bd2c7b2-badf-4705-9731-aa8888531708" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "STM.4.3_stm", + "name": "statement", + "props": [ + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "allen relevanten Assets passende Zielobjektkategorien" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "zuweisen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Strukturmodellierung MUSS allen relevanten Assets passende Zielobjektkategorien zuweisen." + }, + { + "id": "STM.4.3_gdn", + "name": "guidance", + "prose": "Zielobjektkategorien sind Teile des Informationsverbunds, denen im Rahmen der Modellierung Anforderungen zugeordnet werden können. Zielobjekt können dabei physische und logische Objekte sein. Durch das Mapping werden Assets damit in die Systematik des GS++ überführt. Die Zuordnung erfolgt anhand der Definitionen der Zielobjektkategorien. Für jedes Asset ist zu prüfen, welche Kategorie(n) seine Funktion und seinen Einsatz im Geschäftsprozess am besten abbilden. Ergebnis dieses Schritts ist eine Zielobjekt-Liste je Asset, welche die Grundlage für die spätere Ableitung der Anforderungen bildet." + } + ] + } + ] + }, + { + "id": "STM.5", + "title": "Anforderungsmodellierung auf die Assets", + "props": [ + { + "name": "label", + "value": "5" + }, + { + "name": "alt-identifier", + "value": "415ca274-2700-4b93-91f2-c66b67421da8" + } + ], + "controls": [ + { + "id": "STM.5.1", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Modellierung der Anforderungen mit Zielobjekt", + "props": [ + { + "name": "alt-identifier", + "value": "11fe535b-f1f3-49d2-ab01-65fc651281b5" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "links": [ + { + "href": "#STM.4.3", + "rel": "required" + }, + { + "href": "#STM.5.2", + "rel": "related" + }, + { + "href": "#STM.5.3", + "rel": "related" + }, + { + "href": "#STM.5.4", + "rel": "related" + } + ], + "parts": [ + { + "id": "STM.5.1_stm", + "name": "statement", + "props": [ + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Modellierung der Anforderung aus den Zielobjektkategorien auf die zugeordeten Assets" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "ausführen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Strukturmodellierung MUSS die Modellierung der Anforderung aus den Zielobjektkategorien auf die zugeordeten Assets ausführen." + }, + { + "id": "STM.5.1_gdn", + "name": "guidance", + "prose": "Nun werden die Anforderungen aus dem GS++ auf die identifizierten Zielobjekte modelliert. Gemäß dem Schutzbedarf der Institution für den Geschäftsprozess, werden die Anforderungen für eine entsprechendes Sicherheitsniveau gewählt. Die modellierten Anforderungen bilden das individuelle Anforderungspaket des festgelegten Informationsverbund in Bezug auf den ausgewählten Geschäftsprozess." + } + ] + }, + { + "id": "STM.5.2", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Vererbung von Zielobjektkategorien", + "props": [ + { + "name": "alt-identifier", + "value": "3e96574e-7742-42c4-8ccb-4578bcc2f7b0" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "links": [ + { + "href": "#STM.5.1", + "rel": "related" + }, + { + "href": "#STM.5.3", + "rel": "related" + }, + { + "href": "#STM.5.4", + "rel": "related" + } + ], + "parts": [ + { + "id": "STM.5.2_stm", + "name": "statement", + "props": [ + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Ergänzung der zuvor zugeordneten Zielobjektkategorien um diejenigen Kategorien" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die in der Zielobjekthierarchie übergeordnet sind" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "ausführen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Strukturmodellierung MUSS die Ergänzung der zuvor zugeordneten Zielobjektkategorien um diejenigen Kategorien die in der Zielobjekthierarchie übergeordnet sind ausführen." + }, + { + "id": "STM.5.2_gdn", + "name": "guidance", + "prose": "Anforderungen werden einmalig für die passende Zielobjektkategorie definiert und dann auf alle nachgeordneten Kategorien vererbt. Durch die Vererbung wird es einfacher, den Umsetzungsstand und das Sicherheitsniveau über verschiedene Systeme und Anwendungen hinweg zu erfassen und zu vergleichen. Eine automatisierte Verarbeitung der Vererbungshierarchie kann auch der Umsetzungsaufwand in vielen Fällen erheblich reduzieren, ohne dass Themen außen vor bleiben. Die Vererbung erfolgt entlang der Zielobjekthierarchie: Für jedes zugeordnete Zielobjekt werden alle Elternknoten bis zur Wurzel einbezogen. Die Vererbung ist deterministisch, da die Zielobjekthierarchie fest definiert ist. Eine Automatisierung der Vererbung ist möglich und empfohlen, wenn die Hierarchie maschinenlesbar vorliegt. Beachten Sie, dass die Vererbung dazu führen kann, dass sich Zielobjektkategorien mehrfach ergeben; diese sind konsolidiert zu betrachten, um redundante Anforderungen zu vermeiden. Ergebnis dieses Schritts ist eine vollständige Liste der Zielobjektkategorie je Asset, bestehend aus direkt zugeordneten Zielobjektkategorien und vererbten übergeordneten Zielobjektkategorien. Dieses Set bildet die Grundlage für die Anforderungskonsolidierung und -ergänzung um die Anforderungen ohne Zielobjektkategorie." + } + ] + }, + { + "id": "STM.5.3", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Konsolidierung und Redundanzprüfung", + "props": [ + { + "name": "alt-identifier", + "value": "2bb937c6-f260-4742-a0d3-0fbc87dc37f0" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "links": [ + { + "href": "#STM.5.1", + "rel": "related" + }, + { + "href": "#STM.5.2", + "rel": "related" + }, + { + "href": "#STM.5.4", + "rel": "related" + } + ], + "parts": [ + { + "id": "STM.5.3_stm", + "name": "statement", + "props": [ + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine Konsolidierung und Redundanzprüfung des Anforderungspakets" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "ausführen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Strukturmodellierung MUSS eine Konsolidierung und Redundanzprüfung des Anforderungspakets ausführen." + }, + { + "id": "STM.5.3_gdn", + "name": "guidance", + "prose": "Wenn Anforderungen durch mehrere vererbte Zielobjekte identisch auf ein Asset wirken, werden sie nur einmal geführt. So bleibt das Anforderungspaket schlank und umsetzbar. Ergebnis ist pro Asset ein vollständiger Satz an Anforderungen, der alle organisatorischen, technischen, personellen und infrastrukturellen Vorgaben enthält, die zur Erreichung des Sicherheitsniveaus erforderlich sind. Diese Anforderungen ergänzen das Anforderungspaket." + } + ] + }, + { + "id": "STM.5.4", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Modellierung der Anforderungen ohne Zielobjektkategorie", + "props": [ + { + "name": "alt-identifier", + "value": "6fa942b2-8081-4a68-8b37-60ae5e4dc081" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "links": [ + { + "href": "#STM.5.1", + "rel": "related" + }, + { + "href": "#STM.5.2", + "rel": "related" + }, + { + "href": "#STM.5.3", + "rel": "related" + } + ], + "parts": [ + { + "id": "STM.5.4_stm", + "name": "statement", + "props": [ + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Modellierung aller weiteren Anforderungen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "denen kein Zielobjektkategorie zugeordnet ist" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "ausführen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Strukturmodellierung MUSS die Modellierung aller weiteren Anforderungen denen kein Zielobjektkategorie zugeordnet ist ausführen." + }, + { + "id": "STM.5.4_gdn", + "name": "guidance", + "prose": "Für jede zielobjektlose Anforderung in den vorliegenden Geschäftsprozessen ist eine Relevanzentscheidung vorzunehmen. Für jede Anforderung ohne Zielobjekt wird entschieden, ob sie für den Geschäftsprozess bzw. die zugehörigen Assets erforderlich ist. Maßstab ist hier wiederum das Sicherheitsniveau sowie die konkrete Nutzung für den Geschäftsprozess. Daraufhin erfolgt eine Zuordnung auf die betroffenenen Geschäftsprozesse: Hierbei werden diese Anforderungen auch federführend zuständigen Personen oder Rollen (sog. Prozess-Owner) zugewiesen. Für die vorliegenden Geschäftsprozesse nicht relevante Anforderungen werden aus dem Anforderungspaket gestrichen, was mit einer Begründung, zu dokumentieren ist, um Nachvollziehbarkeit bei einem späteren Audit bzw. Zertifizierung zu sichern." + } + ] + } + ] + }, + { + "id": "STM.6", + "title": "Anforderungsergänzung", + "props": [ + { + "name": "label", + "value": "6" + }, + { + "name": "alt-identifier", + "value": "a93701b3-22d3-44c5-8a06-02b957e7f066" + } + ], + "controls": [ + { + "id": "STM.6.1", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Auf Grund anforderungsloser Assets", + "props": [ + { + "name": "alt-identifier", + "value": "2806a793-8638-4b0b-9247-22252cae48f6" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "links": [ + { + "href": "#STM.6.2", + "rel": "related" + } + ], + "parts": [ + { + "id": "STM.6.1_stm", + "name": "statement", + "props": [ + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Ergänzung des Anforderungspakets um Anforderungen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "für die es keine passenden Anforderungen gibt" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "ausführen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Strukturmodellierung MUSS die Ergänzung des Anforderungspakets um Anforderungen für die es keine passenden Anforderungen gibt ausführen." + }, + { + "id": "STM.6.1_gdn", + "name": "guidance", + "prose": "Falls es für Assets oder Themen im GS++ derzeit noch keine Anforderungen gibt, können diese von der Institution erstellt werden. Die Anforderungsmodellierung für Assets ohne Anforderungen umfasst folgende Schritte: Zuerst erfolgt die Identifikation und Dokumentation von Assets, für die es keine Anforderungen im Anforderungskatalog-GS++ gibt. Daraufhin ist nachvollziehbar zu begründen, warum die Anforderungen aus dem Anforderungskatalog-GS++ nicht ausreichen. Dann erfolgt die Erstellung von neuen Anforderungen in Bezug auf die Schutzziele (Vertraulichkeit, Integrität und Verfügbarkeit), für diese Assets. Zuletzt wird das Anforderungspaket um die neuen Anforderungen erweitert. Die Ergebnisse dieser Anforderungsmodellierung sind individuelle und bedarfsgerechte Anforderungen für Assets, für die der Grundschutz++ keine Anforderungen enthält. Diese werden als fester Bestandteil in das Anforderungspaket integriert. Es muss eine Risikobetrachtung in Bezug auf diese neuen Anforderungen durchgeführt werden." + } + ] + }, + { + "id": "STM.6.2", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Auf Grund externer Verpflichtungen", + "props": [ + { + "name": "alt-identifier", + "value": "b620ab56-c91f-47bc-a8fa-a7a594b7d14b" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "links": [ + { + "href": "#STM.6.1", + "rel": "related" + } + ], + "parts": [ + { + "id": "STM.6.2_stm", + "name": "statement", + "props": [ + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Ergänzung des Anforderungspakets um Anforderungen für Assets" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die sich aus dem individuellen Compliance-Umfeld der Institution ergeben" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "ausführen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Strukturmodellierung MUSS die Ergänzung des Anforderungspakets um Anforderungen für Assets die sich aus dem individuellen Compliance-Umfeld der Institution ergeben ausführen." + }, + { + "id": "STM.6.2_gdn", + "name": "guidance", + "prose": "Dieser Schritt ergänzt das Anforderungspaket, um Anforderungen, die sich aus dem individuellen Compliance-Umfeld der Institution ergeben. Die Integration von externen Compliance-Verpflichtungen stellt sicher, dass alle relevanten gesetzlichen und vertraglichen Pflichten berücksichtigt werden, die erfasst wurden. Hier zu zählen z.B. gesetzliche Verpflichtungen, welche die Verarbeitung von Informationen durch die Institution betreffen oder auch vertragliche Verpflichtungen mit Relevanz für die Informationsverarbeitung." + } + ] + } + ] + }, + { + "id": "STM.7", + "title": "Überprüfung des gesetzten Sicherheitsniveaus", + "props": [ + { + "name": "label", + "value": "7" + }, + { + "name": "alt-identifier", + "value": "d41b337c-f304-454e-b032-d4efd12f7161" + } + ], + "controls": [ + { + "id": "STM.7.1", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Überprüfung des gesetzten Sicherheitsniveaus", + "props": [ + { + "name": "alt-identifier", + "value": "ba3059a8-7745-451a-9601-f4c19c2b4b87" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "links": [ + { + "href": "#GC.5.1", + "rel": "related" + } + ], + "parts": [ + { + "id": "STM.7.1_stm", + "name": "statement", + "props": [ + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die initiale Einstufung der Sicherheitsniveaus" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "der Anforderungen im Anforderungspaket" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überprüfen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Strukturmodellierung MUSS die initiale Einstufung der Sicherheitsniveaus der Anforderungen im Anforderungspaket überprüfen." + }, + { + "id": "STM.7.1_gdn", + "name": "guidance", + "prose": "Durch die Durchführung dieses Prozessschrittes der Anforderungsanalyse für alle Geschäftsprozesse mit normalem Schutzbedarf und somit ohne zusätzlich Risikobetrachtung, erfolgt eine Modellierung der Anforderungen mit einem initialen Sicherheitsniveaus. In diesem Teilschritt der Anforderungsanalyse ist es möglich die initiale Einstellung des Sicherheitsniveaus zu überprüfen und bei Bedarf, auch bei einzelnen Assets, zu ändern. Sollte eine Erhöhung des Sicherheitsniveaus (von ‚normal (SdT)‘ auf ‚erhöht‘) erfolgen so hat dies lediglich Auswirkungen auf die Reihenfolge bei der Umsetzung der Anforderungen. Sollte hingegen eine Verringerung des initialen Sicherheitsniveaus (von ‚erhöht‘ aus ‚normal (SdT)‘) erfolgen, so ist dies mit einer Risikobetrachtung, wie im folgenden Kapitel beschrieben, zu begründen." + } + ] + } + ] + }, + { + "id": "STM.8", + "title": "Durchführung der Risikobetrachtung", + "props": [ + { + "name": "label", + "value": "8" + }, + { + "name": "alt-identifier", + "value": "5ec41880-f68f-4d47-978f-fba700783fe1" + } + ], + "controls": [ + { + "id": "STM.8.1", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Risikobetrachtung bei fehlenden Anforderungen", + "props": [ + { + "name": "alt-identifier", + "value": "42cc5d6f-e4f8-4247-a8fa-f90988af02cb" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "STM.8.1_stm", + "name": "statement", + "props": [ + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine Risikobetrachtung für die Assets, für die keine einschlägigen Anforderungen identifiziert werden konnten," + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "oder die einen hohen Schutzbedarf haben" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "ausführen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Strukturmodellierung MUSS eine Risikobetrachtung für die Assets, für die keine einschlägigen Anforderungen identifiziert werden konnten, oder die einen hohen Schutzbedarf haben ausführen." + }, + { + "id": "STM.8.1_gdn", + "name": "guidance", + "prose": "Es kann Assets geben, die durch die Anforderungen nicht oder nicht vollständig abgebildet bzw. abgesichert werden. Diese sind zu dokumentieren, da für diese eine Risikobetrachtung durchzuführen ist. Im Rahmen dieser Risikobetrachtung werden dann eigene Anforderungen bzw. Maßnahmen identifiziert." + } + ] + } + ] + }, + { + "id": "STM.9", + "title": "Gestaltungsentscheidungen", + "props": [ + { + "name": "label", + "value": "9" + }, + { + "name": "alt-identifier", + "value": "dd48b96e-3f92-40fe-b776-39e97d17bb23" + } + ], + "controls": [ + { + "id": "STM.9.1", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Verteilung der führenden Zuständigkeiten", + "props": [ + { + "name": "alt-identifier", + "value": "613c7ac9-0c3d-4a27-8265-2071aede58c4" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "links": [ + { + "href": "#GC.8.1", + "rel": "related" + } + ], + "parts": [ + { + "id": "STM.9.1_stm", + "name": "statement", + "props": [ + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "jeder Anforderung eine zuständige Person oder Rolle" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "für den zugeordneten Prozess" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "zuweisen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Strukturmodellierung MUSS jeder Anforderung eine zuständige Person oder Rolle für den zugeordneten Prozess zuweisen." + }, + { + "id": "STM.9.1_gdn", + "name": "guidance", + "prose": "Jede Praktik enthält im Abschnitt „Grundlagen“ eine Anforderung zur Zuweisung einer Zuständigkeit zu bestimmten Personen oder Rollen. Durch das Setzen dieser Parameter wird festgelegt, welche Personen oder Rollen die führende Zuständigkeit für den zugeordneten Prozess erhalten. Dies wirkt sich auch auf das Anforderungspaket für Zielobjekte aus: Hier ist die Zuständigkeit für jede Anforderung anhand ihrer Praktik erkennbar." + } + ] + }, + { + "id": "STM.9.2", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Weitere Parameter", + "props": [ + { + "name": "alt-identifier", + "value": "422b1228-e297-49a5-a3ad-29349c2ca03e" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "STM.9.2_stm", + "name": "statement", + "props": [ + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Parameter innerhalb einer Anforderung" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "zur automatisierten Prüfung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "zuweisen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Strukturmodellierung MUSS Parameter innerhalb einer Anforderung zur automatisierten Prüfung zuweisen." + }, + { + "id": "STM.9.2_gdn", + "name": "guidance", + "prose": "Bei manchen Anforderungen wird es eine Auswahl an möglichen einsetzbaren Werten geben, welche durch andere Normen und Standards vorgegeben sein können." + } + ] + } + ] + } + ] + }, + { + "id": "UMS", + "title": "Umsetzung", + "props": [ + { + "name": "label", + "value": "UMS", + "remarks": "Die Praktik Umsetzung sorgt für die systematische Planung, Implementierung und Dokumentation von Anforderungen bzw. der Sicherheitsmaßnahmen, die aus der Strukturmodellierung und Risikobewertung abgeleitet wurden. Sie stellt sicher, dass identifizierte Sicherheitsanforderungen effektiv in die organisatorischen und technischen Prozesse integriert werden. Diese Praktik umfasst die detaillierte Planung von Maßnahmen, die Festlegung von Verantwortlichkeiten und Zeitplänen sowie die Bereitstellung notwendiger Ressourcen. Zudem beinhaltet sie die Nachverfolgung der Implementierung und die Dokumentation der umgesetzten Maßnahmen. Während die Praktik Strukturmodellierung die notwendigen Anforderungen identifiziert und die Praktik Monitoring-Evaluation die Wirksamkeit der Maßnahmen überprüft, konzentriert sich die Umsetzung auf die effiziente und effektive Realisierung der erforderlichen Sicherheitsmaßnahmen." + }, + { + "name": "alt-identifier", + "value": "af61e9e7-80ee-4630-b603-c615c6a966ec" + } + ], + "groups": [ + { + "id": "UMS.1", + "title": "Ermittlung des Umsetzungsstatus", + "props": [ + { + "name": "label", + "value": "1" + }, + { + "name": "alt-identifier", + "value": "6f601170-b962-46c9-9924-8ab879831057" + } + ], + "controls": [ + { + "id": "UMS.1.1", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Ermittlung des Umsetzungsstatus", + "props": [ + { + "name": "alt-identifier", + "value": "e2c90fc0-e6e5-4a89-8099-39360b6e8eb9" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "UMS.1.1_stm", + "name": "statement", + "props": [ + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "den Umsetzungsstatus der Anforderungen der verschiedenen Praktiken" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "vollständig" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überprüfen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Umsetzung MUSS den Umsetzungsstatus der Anforderungen der verschiedenen Praktiken vollständig überprüfen." + }, + { + "id": "UMS.1.1_gdn", + "name": "guidance", + "prose": "Der Umsetzungsstatus einer Anforderung kann grundsätzlich nur „umgesetzt“ („ja“) oder „nicht umgesetzt“ („nein“) sein. Eine Anforderung gilt nur dann als umgesetzt, wenn sie selbst sowie alle in Abhängigkeit stehenden Anforderungen umgesetzt sind." + } + ] + } + ] + }, + { + "id": "UMS.2", + "title": "Bewertung fehlender Umsetzungen", + "props": [ + { + "name": "label", + "value": "2" + }, + { + "name": "alt-identifier", + "value": "867d4b3e-164b-4a57-8143-7f9d5e7c2bc4" + } + ], + "controls": [ + { + "id": "UMS.2.1", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Bewertung des Restrisikos", + "props": [ + { + "name": "alt-identifier", + "value": "8b7626ab-3fcf-45bd-a7ba-45705436c909" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + } + ], + "parts": [ + { + "id": "UMS.2.1_stm", + "name": "statement", + "props": [ + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "das bestehende Restrisiko durch die nicht umgesetzten Anforderungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "festlegen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Umsetzung SOLLTE das bestehende Restrisiko durch die nicht umgesetzten Anforderungen festlegen." + }, + { + "id": "UMS.2.1_gdn", + "name": "guidance", + "prose": "Die Risiken der Nichtumsetzung von Anforderungen können auch konsolidiert werden, um diese für die Institutionsleitung nachvollziehbarer zu machen." + } + ] + } + ] + }, + { + "id": "UMS.3", + "title": "Umsetzungsplanung und Priorisierung", + "props": [ + { + "name": "label", + "value": "3" + }, + { + "name": "alt-identifier", + "value": "33928743-3371-40c9-a2ae-4f392566f08b" + } + ], + "controls": [ + { + "id": "UMS.3.1", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Umsetzungsplanung", + "props": [ + { + "name": "alt-identifier", + "value": "c179a2e9-4e6e-4115-a85e-d66ac93b00e8" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "UMS.3.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Umsetzungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "ein Verfahren zur Festlegung von Maßnahmen für die Umsetzung der bisher nicht umgesetzten Anforderungen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "des Anforderungspakets als Ergebnis der Praktik Strukturmodellierung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Umsetzung MUSS ein Verfahren zur Festlegung von Maßnahmen für die Umsetzung der bisher nicht umgesetzten Anforderungen des Anforderungspakets als Ergebnis der Praktik Strukturmodellierung verankern." + }, + { + "id": "UMS.3.1_gdn", + "name": "guidance", + "prose": "Das Verfahren ist auf die Organisation abzustimmen. Dabei empfiehlt es sich zu prüfen, ob Maßnahmen etabliert sind, die mehrere Anforderungen zugleich abdecken. Ebenso kann das Verfahren genutzt werden, um Synergieeffekte zu erschließen, indem ähnliche Defizite in anderen Bereichen identifiziert und mit gemeinsamen Lösungen adressiert werden." + } + ] + }, + { + "id": "UMS.3.2", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Priorisierung von Maßnahmen", + "props": [ + { + "name": "alt-identifier", + "value": "03f6a09f-5be8-405f-a7b5-4f4fd7034413" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "links": [ + { + "href": "#UMS.3.1", + "rel": "required" + } + ], + "parts": [ + { + "id": "UMS.3.2_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Umsetzungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine Priorisierung der festgelegten Maßnahmen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "auf Basis der der Risikobewertung, Abhängigkeiten und Ressourcenverfügbarkeit" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "festlegen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Umsetzung MUSS eine Priorisierung der festgelegten Maßnahmen auf Basis der der Risikobewertung, Abhängigkeiten und Ressourcenverfügbarkeit festlegen." + }, + { + "id": "UMS.3.2_gdn", + "name": "guidance", + "prose": "Es ist eine geeignete Priorisierung der Anforderungen und Maßnahmenumsetzung vorzunehmen. Gesetzliche Verpflichtungen und Compliance, der Umsetzungsaufwand einer Anforderung bzw. Maßnahme oder die Risikomitigierung der Anforderungen können bei der Priorisierung helfen." + } + ] + } + ] + }, + { + "id": "UMS.4", + "title": "Zuständigkeiten und Umsetzungsfristen", + "props": [ + { + "name": "label", + "value": "4" + }, + { + "name": "alt-identifier", + "value": "9279a98f-4ce0-42fd-9d05-b6e58e952cf9" + } + ], + "controls": [ + { + "id": "UMS.4.1", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Benennung von Umsetzungszuständigen", + "props": [ + { + "name": "alt-identifier", + "value": "0ea195d5-64a3-4c83-84a4-7acb976a0f26" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "links": [ + { + "href": "#UMS.3.1", + "rel": "related" + } + ], + "parts": [ + { + "id": "UMS.4.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Umsetzungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Zuständige für die Umsetzung der bisher nicht erfüllten Anforderungen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eindeutig" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "zuweisen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Umsetzung MUSS Zuständige für die Umsetzung der bisher nicht erfüllten Anforderungen eindeutig zuweisen." + }, + { + "id": "UMS.4.1_gdn", + "name": "guidance", + "prose": "Die Zuständigen für die Umsetzung der Priorisierungen müssen eindeutig zugewiesen werden, wobei die zugewiesenen Personen oder Teams über die erforderlichen Kompetenzen und Ressourcen verfügen sollten. Die Zuweisung von Zuständigkeiten sollte in Abstimmung mit den betroffenen Bereichen erfolgen, um Akzeptanz und Commitment zu fördern. Insbesondere bei komplexeren Maßnahmen kann es sinnvoll sein, sowohl eine fachliche als auch eine operative Verantwortung zu definieren und bei Bedarf Teilaufgaben mit eigenen Verantwortlichkeiten zu bilden" + } + ] + }, + { + "id": "UMS.4.2", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Festlegung von Umsetzungsfristen", + "props": [ + { + "name": "alt-identifier", + "value": "3c10793d-1a2d-490c-9c7d-479f8f2c102b" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "links": [ + { + "href": "#UMS.3.1", + "rel": "related" + } + ], + "parts": [ + { + "id": "UMS.4.2_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Umsetzungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "ein realistisches Zieldatum für die Umsetzung der bisher nicht umgesetzten Anforderungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "festlegen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Umsetzung MUSS ein realistisches Zieldatum für die Umsetzung der bisher nicht umgesetzten Anforderungen festlegen." + }, + { + "id": "UMS.4.2_gdn", + "name": "guidance", + "prose": "Für jede umzusetzende Maßnahme muss ein realistisches Zieldatum festgelegt werden, das den Umfang, die verfügbaren Ressourcen und mögliche Abhängigkeiten berücksichtigt. Die Einhaltung dieser Fristen muss nachgehalten werden. Bei Überschreitung der Fristen sind geeignete Maßnahmen einzuleiten." + } + ] + } + ] + }, + { + "id": "UMS.5", + "title": "Freigabeverfahren und Ausnahmemanagement", + "props": [ + { + "name": "label", + "value": "5" + }, + { + "name": "alt-identifier", + "value": "86b2b22e-b2db-412b-947e-6c1a6132e656" + } + ], + "controls": [ + { + "id": "UMS.5.1", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Autorisierung von Ausnahmen", + "props": [ + { + "name": "alt-identifier", + "value": "c3e9f936-827a-4af2-a750-0777a082477d" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "UMS.5.1_stm", + "name": "statement", + "props": [ + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Ausnahmegenehmigungen für Verpflichtungen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "durch eine zuständige Person oder Rolle" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "autorisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Umsetzung MUSS Ausnahmegenehmigungen für Verpflichtungen durch eine zuständige Person oder Rolle autorisieren." + }, + { + "id": "UMS.5.1_gdn", + "name": "guidance", + "prose": "Bei Zielkonflikten zwischen Verpflichtungen müssen diese gegeneinander abgewogen und falls erforderlich Ausnahmegenehmigungen eingeholt werden. Zur Entscheidungsfindung kann eine Risikobetrachtung vorgenommen werden. Hierbei sind auch die Anforderungen zur \"Aufgabenzuweisung\" und \"Anweisung zur Einhaltung\" zu berücksichtigen." + } + ] + }, + { + "id": "UMS.5.2", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Dokumentation von Ausnahmen", + "props": [ + { + "name": "alt-identifier", + "value": "df054b8b-955d-42fa-9f35-111b4ac72e98" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "links": [ + { + "href": "#UMS.5.1", + "rel": "required" + } + ], + "parts": [ + { + "id": "UMS.5.2_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Freigegebene Ausnahmegenehmigung" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Ausnahmegenehmigungen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "mit Begründung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Umsetzung MUSS Ausnahmegenehmigungen mit Begründung dokumentieren." + }, + { + "id": "UMS.5.2_gdn", + "name": "guidance", + "prose": "Um rechtlich bedeutsame Entscheidungen zur Informationsverarbeitung später nachvollziehen und ggf. anpassen zu können, ist eine Dokumentation dieser Entscheidungen wichtig. Die Dokumentation muss nicht separat von Geschäftsprozessen vorgenommen werden. Vielmehr ist es sogar empfehlenswert, Geschäftsprozesse und Entscheidungsdokumentation zu integrieren, z. B. in CMDBs, Aktenverzeichnissen, Commit-Messages oder Ticketsystemen. Hierbei sind auch die Anforderungen zur \"Aufgabenzuweisung\" und \"Anweisung zur Einhaltung\" zu berücksichtigen." + } + ] + } + ] + }, + { + "id": "UMS.6", + "title": "Fortschrittsverfolgung der Realisierung", + "props": [ + { + "name": "label", + "value": "6" + }, + { + "name": "alt-identifier", + "value": "7a14fdd1-99c6-4443-b48d-90e1bf4a73a9" + } + ], + "controls": [ + { + "id": "UMS.6.1", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Nachverfolgung des Umsetzungsfortschritts", + "props": [ + { + "name": "alt-identifier", + "value": "5ebbee40-3069-4d3e-a708-69f50c017059" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "links": [ + { + "href": "#UMS.3.1", + "rel": "required" + } + ], + "parts": [ + { + "id": "UMS.6.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Umsetzungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "ein Verfahren für die Nachverfolgung der Umsetzung von Maßnahmen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Umsetzung MUSS ein Verfahren für die Nachverfolgung der Umsetzung von Maßnahmen verankern." + }, + { + "id": "UMS.6.1_gdn", + "name": "guidance", + "prose": "Es wird empfohlen, dass der Prozess zur Fortschrittsverfolgung der Umsetzung von Anforderungen bzw. Sicherheitsmaßnahmen folgende Aspekte umfasst: Planung und Definition (Zielsetzung, KPI-Definition und detaillierte Umsetzungsplanung), Implementierung (Start der Umsetzung mit klarer Verantwortlichkeit und initialer Bestandsaufnahme), Überwachung (Regelmäßiges Status-Reporting, Soll-Ist-Vergleiche und KPI-Messungen), Bewertung und Anpassung (Ursachenanalyse, Korrekturmaßnahmen und regelmäßige Kommunikation an Stakeholder), Dokumentation und Lessons Learned (Abschlussdokumentation und kontinuierliche Verbesserung mittels PDCA-Zyklus). Eine strukturierte Vorgehensweise gewährleistet, dass Fortschritte transparent nachvollzogen werden, Abweichungen frühzeitig erkannt und der Sicherheitsstatus stetig verbessert werden kann." + } + ] + }, + { + "id": "UMS.6.2", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Fortschreibung des Umsetzungsplans", + "props": [ + { + "name": "alt-identifier", + "value": "2383a636-5eab-43e4-b026-c6fbaae7ae56" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "links": [ + { + "href": "#UMS.3.1", + "rel": "required" + } + ], + "parts": [ + { + "id": "UMS.6.2_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Umsetzungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "ein Verfahren zur Fortschreibung des Umsetzungsplans" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Umsetzung MUSS ein Verfahren zur Fortschreibung des Umsetzungsplans verankern." + }, + { + "id": "UMS.6.2_gdn", + "name": "guidance", + "prose": "Die Fortschreibung sollte die Anpassung von Zeitplänen und Ressourcenzuweisungen, Neubewertungen von Prioritäten, die Ergänzung neuer Maßnahmen und Streichung nicht mehr relevanter Maßnahmen sowie die Integration von Erkenntnissen aus der Wirksamkeitsprüfung umfassen." + } + ] + } + ] + }, + { + "id": "UMS.7", + "title": "Wahrung von Compliance in der Umsetzung", + "props": [ + { + "name": "label", + "value": "7" + }, + { + "name": "alt-identifier", + "value": "1326a330-d71f-4e65-bd23-63c9f3fbc368" + } + ], + "controls": [ + { + "id": "UMS.7.1", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Wahrung von Compliance in der Umsetzung", + "props": [ + { + "name": "alt-identifier", + "value": "4409672d-fbc3-4126-b87d-fc33c0f3c253" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Compliance Management" + } + ], + "links": [ + { + "href": "#PERF.2.1", + "rel": "related" + } + ], + "parts": [ + { + "id": "UMS.7.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Compliance-Verpflichtungen" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "ein Verfahren zur Überprüfung von Compliance im Umsetzungsprozess" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Umsetzung MUSS ein Verfahren zur Überprüfung von Compliance im Umsetzungsprozess verankern." + }, + { + "id": "UMS.7.1_gdn", + "name": "guidance", + "prose": "Die regelmäßige Überprüfung und Aktualisierung der Compliance-bezogenen Prozesse und Anweisungen stellt sicher, dass sie aktuell und wirksam bleiben, auch wenn sich die regulatorischen Anforderungen ändern. Diese kontinuierliche Anpassung ist ein wesentlicher Bestandteil eines lebendigen und effektiven Compliance-Managements innerhalb des ISMS. Beispiele für ein geeignetes Verfahren kann der Einsatz von Prüflisten oder Auditierung sein." + } + ] + } + ] + } + ] + }, + { + "id": "VRB", + "title": "Verbesserung", + "props": [ + { + "name": "label", + "value": "VRB", + "remarks": "Die Praktik Verbesserung gewährleistet die kontinuierliche Weiterentwicklung und Optimierung des Informationssicherheitsmanagementsystems. Sie nutzt die Erkenntnisse aus dem Monitoring und der Evaluation, um die Wirksamkeit der Sicherheitsmaßnahmen zu erhöhen. Diese Praktik umfasst die Planung und Umsetzung von Korrektur- und Vorbeugungsmaßnahmen. Ziel ist es, einen Prozess der kontinuierlichen Verbesserung zu etablieren, der flexibel auf neue Bedrohungen und veränderte Rahmenbedingungen reagieren kann. Die Verbesserung schließt den PDCA-Zyklus ab und leitet gleichzeitig einen neuen Zyklus ein, indem sie Impulse für Anpassungen in den Praktiken Governance und Compliance, Strukturmodellierung und Umsetzung gibt. Sie stellt sicher, dass das ISMS dynamisch bleibt und sich an veränderte Anforderungen und Bedrohungen anpasst." + }, + { + "name": "alt-identifier", + "value": "662fb453-caf1-4e01-8152-b88027b71438" + } + ], + "groups": [ + { + "id": "VRB.1", + "title": "Kontinuierliche Verbesserung", + "props": [ + { + "name": "label", + "value": "1" + }, + { + "name": "alt-identifier", + "value": "26493190-fca2-4256-af0f-65adcbba8dad" + } + ], + "controls": [ + { + "id": "VRB.1.1", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Verfahren zur kontinuierlichen Verbesserung", + "props": [ + { + "name": "alt-identifier", + "value": "af4befb6-3550-4461-bd46-78af23a02817" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "VRB.1.1_stm", + "name": "statement", + "props": [ + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "ein Verfahren zur kontinuierlichen Verbesserung des ISMS" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Verbesserung MUSS ein Verfahren zur kontinuierlichen Verbesserung des ISMS verankern." + }, + { + "id": "VRB.1.1_gdn", + "name": "guidance", + "prose": "In diesem Prozessschritt werden Erkenntnisse aus der Überwachung in konkrete Verbesserungsmaßnahmen umgesetzt. Dieses Verfahren ist ein Prozess, welcher sich im PDCA-Zyklus von der Praktik Strukturmodellierung über die Umsetzung bis hin zum Monitoring und der Evaluierung erstreckt." + } + ] + }, + { + "id": "VRB.1.2", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Änderungen im ISMS", + "props": [ + { + "name": "alt-identifier", + "value": "b7831de9-e3ff-4c82-b6d0-75a90f3f50df" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "VRB.1.2_stm", + "name": "statement", + "props": [ + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "ein Verfahren zum Umgang mit Änderungen im ISMS" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Verbesserung MUSS ein Verfahren zum Umgang mit Änderungen im ISMS verankern." + }, + { + "id": "VRB.1.2_gdn", + "name": "guidance", + "prose": "Änderungen im ISMS erfolgen geplant und strukturiert und werden systematisch dokumentiert. Wenn beispielsweise Parameter in der Risikobetrachtung verändert werden, kann dies Auswirkungen auf die Vergleichbarkeit und Nachvollziehbarkeit sowie die Integrität im Rahmen der Managementbewertung zur Folge haben." + } + ] + } + ] + }, + { + "id": "VRB.2", + "title": "Umgang mit Nicht-Konformitäten", + "props": [ + { + "name": "label", + "value": "2" + }, + { + "name": "alt-identifier", + "value": "7c07b3bb-c479-4b66-a527-365850d2f694" + } + ], + "controls": [ + { + "id": "VRB.2.1", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Umgang mit Nicht-Konformitäten", + "props": [ + { + "name": "alt-identifier", + "value": "55056da1-3773-4fb8-b7bf-9d5d7e42f5e6" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "links": [ + { + "href": "#VRB.2.2", + "rel": "related" + } + ], + "parts": [ + { + "id": "VRB.2.1_stm", + "name": "statement", + "props": [ + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine Methode zur Überprüfung von Nicht-Konformitäten" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "hinsichtlich Ursachen und Wiederauftreten" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "festlegen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Verbesserung MUSS eine Methode zur Überprüfung von Nicht-Konformitäten hinsichtlich Ursachen und Wiederauftreten festlegen." + }, + { + "id": "VRB.2.1_gdn", + "name": "guidance", + "prose": "Die Methode sollte eine systematische Erfassung und Dokumentation aller identifizierten Nicht-Konformitäten, unabhängig davon, ob sie durch interne Audits, externe Prüfungen, Vorfälle oder im Rahmen des regulären Betriebs entdeckt wurden, enthalten. Außerdem sollte sie sich auf eine gründliche Ursachenanalyse stützen, die nicht nur die unmittelbaren, sondern auch die grundlegenden Ursachen der Nicht-Konformität identifiziert (Root-Cause-Analysis)." + } + ] + }, + { + "id": "VRB.2.2", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Anpassung des ISMS", + "props": [ + { + "name": "alt-identifier", + "value": "b2be1d91-1744-467f-abd1-7bcde818fd65" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + } + ], + "links": [ + { + "href": "#VRB.2.1", + "rel": "related" + } + ], + "parts": [ + { + "id": "VRB.2.2_stm", + "name": "statement", + "props": [ + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Notwendigkeit zur Anpassung des ISMS" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "hinsichtlich der Nicht-Konformitäten" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überprüfen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Verbesserung SOLLTE Notwendigkeit zur Anpassung des ISMS hinsichtlich der Nicht-Konformitäten überprüfen." + }, + { + "id": "VRB.2.2_gdn", + "name": "guidance", + "prose": "Hier erfolgt eine Bewertung der Wahrscheinlichkeit des Wiederauftretens von Nicht-Konformitäten und der potenziellen Auswirkungen bei erneutem Auftreten, eine Überprüfung, ob ähnliche Nicht-Konformitäten in anderen Bereichen der Institution bestehen oder auftreten könnten und eine Analyse, inwieweit die Nicht-Konformität auf systemische Schwächen im ISMS hinweist und ob grundlegende Anpassungen des ISMS erforderlich sind. Bei wiederholten oder systematischen Nicht-Konformitäten sollten jedoch die zugrundeliegenden Prozesse, Richtlinien oder Verantwortlichkeiten überprüft und bei Bedarf angepasst werden." + } + ] + } + ] + }, + { + "id": "VRB.3", + "title": "Identifikation von Verbesserungspotenzialen", + "props": [ + { + "name": "label", + "value": "3" + }, + { + "name": "alt-identifier", + "value": "84043e81-8d07-407d-85c0-1cc9ebabaa8d" + } + ], + "controls": [ + { + "id": "VRB.3.1", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Identifikation von Verbesserungspotenzialen", + "props": [ + { + "name": "alt-identifier", + "value": "9e104747-342c-4fae-a76f-0c3ee159aba5" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "VRB.3.1_stm", + "name": "statement", + "props": [ + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine Methode zur Überprüfung und Bewertung von Verbesserungspotentialen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "unter Berücksichtigung der damit verbundenen Risiken" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Verbesserung SOLLTE eine Methode zur Überprüfung und Bewertung von Verbesserungspotentialen unter Berücksichtigung der damit verbundenen Risiken verankern." + }, + { + "id": "VRB.3.1_gdn", + "name": "guidance", + "prose": "Die Methode beinhaltet beispielsweise die Bewertung des Umfelds der Institution (einschließlich der Bewertung der Gefährdungslage), die Auswertung des Umsetzungsplans, die Auswertung von Auditergebnissen und Sicherheitsvorfällen sowie die Berücksichtigung von Ad hoc-Eingaben (z. B. akute Verbesserungspotentiale)." + } + ] + } + ] + }, + { + "id": "VRB.4", + "title": "Korrektur- und Verbesserungsvorschläge", + "props": [ + { + "name": "label", + "value": "4" + }, + { + "name": "alt-identifier", + "value": "e3d7bc94-002e-410f-99e8-ee0c396dadba" + } + ], + "controls": [ + { + "id": "VRB.4.1", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Korrekturmaßnahmen", + "props": [ + { + "name": "alt-identifier", + "value": "6bfdeefe-8025-4e28-8496-f78fd19f5f7d" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "VRB.4.1_stm", + "name": "statement", + "props": [ + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "angemessene Korrekturmaßnahmen zur Beseitigung der Ursachen von Fehlern" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "festlegen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Verbesserung MUSS angemessene Korrekturmaßnahmen zur Beseitigung der Ursachen von Fehlern festlegen." + }, + { + "id": "VRB.4.1_gdn", + "name": "guidance", + "prose": "Im Gegensatz zum reaktiven Umgang mit Nicht-Konformitäten zielt dieser Ansatz darauf ab, auch ohne vorangegangene Probleme oder Abweichungen Optimierungsmöglichkeiten zu erkennen und zu nutzen. Bei der Bewertung von Verbesserungspotenzialen ist eine risikoorientierte Herangehensweise wichtig. Nicht jede Verbesserungsmöglichkeit bietet denselben Mehrwert für die Institution. Die Bewertung sollte das Potenzial zur Risikoreduktion, den erwarteten Ressourcenaufwand, die strategische Bedeutung für die Informationssicherheitsziele, mögliche Synergien mit anderen Verbesserungsmaßnahmen oder Projekten und die Nachhaltigkeit der Verbesserung berücksichtigen." + } + ] + }, + { + "id": "VRB.4.2", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Verbesserungsmaßnahmen", + "props": [ + { + "name": "alt-identifier", + "value": "72bd4983-953e-42ec-9870-113fb0d8c079" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "links": [ + { + "href": "#VRB.3.1", + "rel": "required" + } + ], + "parts": [ + { + "id": "VRB.4.2_stm", + "name": "statement", + "props": [ + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "angemessene Maßnahmen zur Nutzung von Verbesserungspotentialen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "unter Berücksichtigung der damit verbundenen Risiken" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "festlegen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Verbesserung MUSS angemessene Maßnahmen zur Nutzung von Verbesserungspotentialen unter Berücksichtigung der damit verbundenen Risiken festlegen." + }, + { + "id": "VRB.4.2_gdn", + "name": "guidance", + "prose": "Für Verbesserungen zur Nutzung identifizierter Potenziale sollte ein strukturierter Ansatz verfolgt werden. Diese zielen auf die proaktive Weiterentwicklung des ISMS ab. Sie können beispielsweise den Einsatz neuer oder verbesserter Technologien und Methoden,die Stärkung der Sicherheitskultur und des Sicherheitsbewusstseins, die Erweiterung des Anwendungsbereiches des ISMS oder die Verbesserung der Integration des ISMS in andere Managementsysteme und Geschäftsprozesse betreffen." + } + ] + } + ] + }, + { + "id": "VRB.5", + "title": "Korrektur- und Verbesserungsplan", + "props": [ + { + "name": "label", + "value": "5" + }, + { + "name": "alt-identifier", + "value": "b2718f17-64bf-4656-9a8b-d88748863ac4" + } + ], + "controls": [ + { + "id": "VRB.5.1", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Priorisierung von Maßnahmen", + "props": [ + { + "name": "alt-identifier", + "value": "fe0b2f60-809f-4ea6-a956-26aa3c6afde6" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "links": [ + { + "href": "#VRB.4.2", + "rel": "required" + }, + { + "href": "#VRB.4.1", + "rel": "required" + } + ], + "parts": [ + { + "id": "VRB.5.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Umsetzungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "den Maßnahmen zur Korrektur und Verbesserung Prioritäten" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "zuweisen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Verbesserung MUSS den Maßnahmen zur Korrektur und Verbesserung Prioritäten zuweisen." + }, + { + "id": "VRB.5.1_gdn", + "name": "guidance", + "prose": "Maßnahmen zur Verbesserung müssen in den Umsetzungsplan einfließen. Dort werden die Zuständigen für die Umsetzung, Zieldatum der Umsetzung, die Anforderungsbeschreibung, das Zielobjekt bzw. den Anwendungsbereich, die verantwortliche Stelle, Start- und Zieldatum (Fristen), Prioritäten, Status der Umsetzung, ergänzende Aktivitäten z. B. Schulungen, Risiken inkl. Begründung (Was bleibt offen? Was wurde nicht umgesetzt und warum?), Ressourcenplanung, Abhängigkeiten zu anderen Anforderungen, sowie Datum der Freigabe und Unterschrift des Risikoeigentümers nachverfolgt." + } + ] + } + ] + }, + { + "id": "VRB.6", + "title": "Wirksamkeitsprüfung", + "props": [ + { + "name": "label", + "value": "6" + }, + { + "name": "alt-identifier", + "value": "3e413493-ecda-446c-9ed8-77825995aaeb" + } + ], + "controls": [ + { + "id": "VRB.6.1", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Wirksamkeitsprüfung", + "params": [ + { + "id": "vrb.6.1-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "89d9eada-bcdb-4b47-a3de-b26e22cca2a4" + } + ], + "label": "regelmäßig" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "89d9eada-bcdb-4b47-a3de-b26e22cca2a4" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "VRB.6.1_stm", + "name": "statement", + "props": [ + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Wirksamkeit der umgesetzten Maßnahmen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{regelmäßig}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überprüfen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Verbesserung MUSS die Wirksamkeit der umgesetzten Maßnahmen {{ insert: param, vrb.6.1-prm1 }} überprüfen." + }, + { + "id": "VRB.6.1_gdn", + "name": "guidance", + "prose": "Die Wirksamkeit bewertet, ob die Maßnahmen den beabsichtigten Effekt erzielt haben. Hierfür sollten die Definition klarer, messbarer Kriterien für die Wirksamkeit jeder Maßnahme, die Durchführung gezielter Tests, Audits oder Überprüfungen nach Abschluss der Umsetzung, die Bewertung, ob die identifizierten Nicht-Konformitäten tatsächlich beseitigt oder die angestrebten Verbesserungen erreicht wurden sowie die Dokumentation der Ergebnisse der Wirksamkeitsprüfung berücksichtigt werden." + } + ] + } + ] + }, + { + "id": "VRB.7", + "title": "Bewertung der erreichten Verbesserung", + "props": [ + { + "name": "label", + "value": "7" + }, + { + "name": "alt-identifier", + "value": "3fc75a52-d139-425b-bb94-3ff6ec542d7d" + } + ], + "controls": [ + { + "id": "VRB.7.1", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Bewertung der erreichten Verbesserung", + "props": [ + { + "name": "alt-identifier", + "value": "148975f6-1a20-4fe6-9d3b-b6e69ec80ec5" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + } + ], + "parts": [ + { + "id": "VRB.7.1_stm", + "name": "statement", + "props": [ + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "ein Verfahren zur Bewertung der erreichten Verbesserung" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "unter Berücksichtigung der damit verbundenen Risiken" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Verbesserung SOLLTE ein Verfahren zur Bewertung der erreichten Verbesserung unter Berücksichtigung der damit verbundenen Risiken verankern." + }, + { + "id": "VRB.7.1_gdn", + "name": "guidance", + "prose": "Die Bewertung kann beispielsweise durch interne Audits, die Messung von Key Performance Indicators (KPIs) vor und nach der Maßnahmenumsetzung oder durch technische Überprüfungen erfolgen. Im Ergebnis ist das Sicherheitsniveau der Institution transparent dargestellt und Trends der Verbesserung des Sicherheitsniveaus, insbesondere auch durch die Vergleichbarkeit mit vorigen Bewertungen, ableitbar." + } + ] + } + ] + }, + { + "id": "VRB.8", + "title": "Behandlung von Compliance-Verstößen", + "props": [ + { + "name": "label", + "value": "8" + }, + { + "name": "alt-identifier", + "value": "e74feb8d-d009-46ff-9222-afecbdb555a2" + } + ], + "controls": [ + { + "id": "VRB.8.1", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Behandlung von Compliance-Verstößen", + "props": [ + { + "name": "alt-identifier", + "value": "8a5be79d-22b6-4a78-a87e-6445c9fdd20d" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + } + ], + "links": [ + { + "href": "#GC.7.1.1", + "rel": "related" + }, + { + "href": "#UMS.7.1", + "rel": "related" + } + ], + "parts": [ + { + "id": "VRB.8.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Compliance-Verpflichtungen" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "ein Verfahren zur Behandlung von Verstößen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "unter Berücksichtigung der Betroffenenrechte" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Verbesserung SOLLTE ein Verfahren zur Behandlung von Verstößen unter Berücksichtigung der Betroffenenrechte verankern." + }, + { + "id": "VRB.8.1_gdn", + "name": "guidance", + "prose": "Das Verfahren sollte eine klare Definition enthalten, was als Verstoß gilt und die verschiedenen Arten von Verstößen kategorisieren. Es sollten Melde- und Eskalationswegen für erkannte oder vermutete Verstöße festgelegt werden, ein systematischer Prozess zur Untersuchung und Dokumentation von Verstößen etabliert werden, eine Entscheidungsfindung über angemessene Reaktionen und Konsequenzen stattfinden und die Umsetzung beschlossener Maßnahmen sollte nachverfolgt werden." + } + ] + } + ] + } + ] + }, + { + "id": "PERF", + "title": "Monitoring-Evaluation", + "props": [ + { + "name": "label", + "value": "PERF", + "remarks": "Die Praktik Monitoring-Evaluation stellt durch kontinuierliche Überwachung und systematische Bewertung sicher, dass die implementierten Sicherheitsmaßnahmen wirksam sind und die Sicherheitsziele der Organisation erreicht werden. Sie liefert Erkenntnisse über den aktuellen Sicherheitszustand und identifiziert Verbesserungspotentiale. Im Rahmen dieser Praktik werden regelmäßige Sicherheitsaudits, kontinuierliches Monitoring von Sicherheitsereignissen sowie periodische Überprüfungen und Bewertungen des ISMS durchgeführt. Sie entspricht der \"Check-Phase\" im PDCA-Zyklus und dient dazu, Abweichungen von den definierten Zielen zu erkennen. Die Ergebnisse der Monitoring-Evaluation fließen direkt in die Praktik Verbesserung ein, wo konkrete Maßnahmen zur Behebung identifizierter Schwachstellen und zur kontinuierlichen Weiterentwicklung des ISMS abgeleitet werden." + }, + { + "name": "alt-identifier", + "value": "929c7c4f-efe1-4092-907e-ba1e767a1ac3" + } + ], + "groups": [ + { + "id": "PERF.1", + "title": "Leistungsbewertung des ISMS", + "props": [ + { + "name": "label", + "value": "1" + }, + { + "name": "alt-identifier", + "value": "68fb2d83-b361-4806-88dc-67455b24f87d" + } + ], + "controls": [ + { + "id": "PERF.1.1", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Verfahren und Regelungen", + "props": [ + { + "name": "alt-identifier", + "value": "02e914c1-69b6-4baa-a194-3c3c10a417de" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "PERF.1.1_stm", + "name": "statement", + "props": [ + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Verfahren und Regelungen zur Messung und Bewertung der Leistung des ISMS" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Monitoring-Evaluation MUSS Verfahren und Regelungen zur Messung und Bewertung der Leistung des ISMS verankern." + }, + { + "id": "PERF.1.1_gdn", + "name": "guidance", + "prose": "Die bei der Festlegung des Verfahrens und der Regelungen im Einzelnen zu berücksichtigenden Inhalte ergeben sich aus den Anforderungen dieser Praktik. Die Ergebnisse müssen strukturiert dokumentiert und an die relevanten Stakeholder kommuniziert werden." + } + ], + "controls": [ + { + "id": "PERF.1.1.1", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Auswertung der Gefährdungslage", + "props": [ + { + "name": "alt-identifier", + "value": "7797cd44-8cc3-4b75-a4b8-9faefe2c16d7" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + } + ], + "parts": [ + { + "id": "PERF.1.1.1_stm", + "name": "statement", + "props": [ + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Gefährdungslage" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "in Bezug auf geänderte Rahmenbedingungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überprüfen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Monitoring-Evaluation SOLLTE die Gefährdungslage in Bezug auf geänderte Rahmenbedingungen überprüfen." + }, + { + "id": "PERF.1.1.1_gdn", + "name": "guidance", + "prose": "Die Auswertung der Gefährdungslage im Hinblick auf Veränderungen stellt sicher, dass neue oder veränderte Rahmenbedingungen (organisatorischer, technischer oder rechtlicher Art) potenziell zusätzliche Gefährdungen erzeugen und deshalb im ISMS berücksichtigt werden; konkrete Prüfpunkte umfassen technische Veränderungen wie die Einführung neuer IT-Systeme, Software, Netzwerktechnologien oder Cloud-Dienste, organisatorische Veränderungen wie Outsourcing, neue Standorte, Umstrukturierungen sowie veränderte Schnittstellen oder Verantwortlichkeiten, rechtliche und regulatorische Änderungen wie neue Gesetze (z. B. NIS2, Anpassungen der DSGVO) und Branchenvorgaben, die zusätzliche Compliance-Risiken begründen, sowie eine veränderte Bedrohungslage durch neue Angriffsarten, aktuelle Sicherheitsvorfälle und CERT-Warnungen, was eine Aktualisierung der Gefährdungskataloge erforderlich machen kann; daraus folgen eine regelmäßige Überprüfung der Gefährdungslage (z. B. halbjährlich oder anlassbezogen), die Anpassung der Risikobetrachtung bei identifizierten neuen Gefährdungen, die Ableitung neuer Schutzmaßnahmen bzw. die Nachbesserung bestehender sowie die nachvollziehbare Dokumentation von Prüfungen und Ergebnissen im ISMS." + } + ] + }, + { + "id": "PERF.1.1.2", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Auswertung des Umsetzungsplans", + "params": [ + { + "id": "perf.1.1.2-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "ffabec9a-1a60-4edc-bdbb-adc79c43d7c8" + } + ], + "label": "regelmäßig" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "ffabec9a-1a60-4edc-bdbb-adc79c43d7c8" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + } + ], + "parts": [ + { + "id": "PERF.1.1.2_stm", + "name": "statement", + "props": [ + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "den Umsetzungsplan" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "in Bezug auf den Fortschritt, die Einhaltung von Fristen und der inhaltlichen Korrektheit {{regelmäßig}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überprüfen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Monitoring-Evaluation SOLLTE den Umsetzungsplan in Bezug auf den Fortschritt, die Einhaltung von Fristen und der inhaltlichen Korrektheit {{ insert: param, perf.1.1.2-prm1 }} überprüfen." + }, + { + "id": "PERF.1.1.2_gdn", + "name": "guidance", + "prose": "Die Überprüfung eines Umsetzungsplans beinhaltet, ob Sicherheitsmaßnahmen vollständig, termingerecht und wirksam sowie inhaltlich korrekt umgesetzt wurden und ob sie die angestrebten Schutzziele erreichen. Dabei sind insbesondere der Umsetzungsstand, Abweichungen, Restrisiken und die Wirksamkeit der Maßnahmen systematisch zu überprüfen und für Managemententscheidungen auszuwerten. Umsetzungsdaten umfassen z. B. Fälligkeitsdatum, bis wann eine bestimmte Maßnahme umgesetzt sein muss, Meilensteine im Projektplan oder vereinbarte Endtermine für Kontrollen, Prüfungen oder technische Implementierungen." + } + ] + }, + { + "id": "PERF.1.1.3", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Auswertung von Auditergebnissen", + "props": [ + { + "name": "alt-identifier", + "value": "cc351e72-c510-4df1-9224-b7867aa8a39e" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + } + ], + "parts": [ + { + "id": "PERF.1.1.3_stm", + "name": "statement", + "props": [ + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Umsetzung von festgelegten Maßnahmen aus Auditergebnissen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überprüfen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Monitoring-Evaluation SOLLTE die Umsetzung von festgelegten Maßnahmen aus Auditergebnissen überprüfen." + }, + { + "id": "PERF.1.1.3_gdn", + "name": "guidance", + "prose": "Die Auswertung von Auditergebnissen dient dazu, systematische Abweichungen, Schwachstellen und Verbesserungspotenziale im Informationssicherheitsmanagement zu identifizieren. Im Audit festgestellte Abweichungen, Hinweise und Empfehlungen werden ausgewertet, nach ihrer Bedeutung geordnet und in konkrete Maßnahmen überführt. Diese Maßnahmen werden anschließend überwacht und ihre Umsetzung nachverfolgt." + } + ] + }, + { + "id": "PERF.1.1.4", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Auswertung von Sicherheitsvorfällen", + "props": [ + { + "name": "alt-identifier", + "value": "210472b2-d941-421f-ba5d-0a62eb8e8cf0" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + } + ], + "parts": [ + { + "id": "PERF.1.1.4_stm", + "name": "statement", + "props": [ + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "umgesetzte Maßnahmen als Folge von Sicherheitsvorfällen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überprüfen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Monitoring-Evaluation SOLLTE umgesetzte Maßnahmen als Folge von Sicherheitsvorfällen überprüfen." + }, + { + "id": "PERF.1.1.4_gdn", + "name": "guidance", + "prose": "Bei der Auswertung von Sicherheitsvorfällen sollten Ursachen, Auswirkungen, Reaktionen und Schwachstellen systematisch analysiert werden, um gezielte Verbesserungsmaßnahmen abzuleiten. Wichtig ist, dass sowohl die Wirksamkeit der Sofortmaßnahmen als auch die Umsetzung und Nachhaltigkeit der Folgemaßnahmen überprüft werden." + } + ] + } + ] + } + ] + }, + { + "id": "PERF.2", + "title": "Überwachung der Compliance", + "props": [ + { + "name": "label", + "value": "2" + }, + { + "name": "alt-identifier", + "value": "63f59113-8455-4a98-9640-e2cfafdde7e0" + } + ], + "controls": [ + { + "id": "PERF.2.1", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Überwachung der Einhaltung von Verpflichtungen", + "params": [ + { + "id": "perf.2.1-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "9bb16672-4394-4ce9-bd14-12a080233f7a" + } + ], + "label": "regelmäßig" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "9bb16672-4394-4ce9-bd14-12a080233f7a" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Compliance-Management" + } + ], + "links": [ + { + "href": "#GC.7.1", + "rel": "related" + }, + { + "href": "#UMS.7.1", + "rel": "related" + } + ], + "parts": [ + { + "id": "PERF.2.1_stm", + "name": "statement", + "props": [ + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Einhaltung von Verpflichtungen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{regelmäßig}} sowie anlassbezogen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überprüfen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Monitoring-Evaluation SOLLTE die Einhaltung von Verpflichtungen {{ insert: param, perf.2.1-prm1 }} sowie anlassbezogen überprüfen." + }, + { + "id": "PERF.2.1_gdn", + "name": "guidance", + "prose": "Im Rahmen der Compliance-Überwachung sollte die Einhaltung von Verpflichtungen regelmäßig sowie anlassbezogen überprüft werden. Dies umfasst regelmäßige Kontrollen zur Überprüfung der Einhaltung dokumentierter gesetzlicher und vertraglicher Anforderungen, anlassbezogene Überprüfungen bei Änderungen des regulatorischen Umfelds, bei Hinweisen auf mögliche Verstöße oder nach durchgeführten Änderungen in relevanten Systemen oder Prozessen, die Identifikation von Compliance-Lücken und deren systematische Dokumentation sowie die Entwicklung und Umsetzung von Maßnahmen zur Schließung identifizierter Compliance-Lücken." + } + ] + } + ] + }, + { + "id": "PERF.3", + "title": "Auditprogramm und -durchführung", + "props": [ + { + "name": "label", + "value": "3" + }, + { + "name": "alt-identifier", + "value": "fcc79624-9fa4-4e70-9ad8-89af7dfdc777" + } + ], + "controls": [ + { + "id": "PERF.3.1", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Aufbau und Pflege eines Auditprogramms", + "props": [ + { + "name": "alt-identifier", + "value": "26cebd96-ae1b-46e8-9d1c-95f969b769dc" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "PERF.3.1_stm", + "name": "statement", + "props": [ + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "ein Verfahren zum Aufbau und zur Pflege eines oder mehrerer Auditprogramme" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Monitoring-Evaluation MUSS ein Verfahren zum Aufbau und zur Pflege eines oder mehrerer Auditprogramme verankern." + }, + { + "id": "PERF.3.1_gdn", + "name": "guidance", + "prose": "Ein Audit kann in unterschiedlichen Formen durchgeführt werden – beispielsweise als internes Audit durch eigene Mitarbeitende, als externes Audit durch unabhängige Dritte (z. B. für Zertifizierungen), als Überwachungs- oder Wiederholungsaudit, oder als Sonderaudit bei Sicherheitsvorfällen. Ziel ist es, die Einhaltung von Sicherheitsanforderungen, die Wirksamkeit von Maßnahmen sowie mögliche Schwachstellen zu prüfen." + } + ], + "controls": [ + { + "id": "PERF.3.1.1", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Erstellen eines Auditsplans", + "props": [ + { + "name": "alt-identifier", + "value": "e81de2b1-c4fd-47b7-86a6-f858db31306e" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "PERF.3.1.1_stm", + "name": "statement", + "props": [ + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "für jedes durchzuführende Audit einen Auditplan" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "festlegen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Monitoring-Evaluation SOLLTE für jedes durchzuführende Audit einen Auditplan festlegen." + }, + { + "id": "PERF.3.1.1_gdn", + "name": "guidance", + "prose": "Der Auditplan (audit plan) legt vorab die Ziele, den Umfang (Geltungsbereich, Zielobjekte), die Methoden (Auditkriterien), Rollen und Zuständigkeiten, sowie den genauen Ablauf dieser Überprüfung fest. Auditmethoden sind die spezifischen Vorgehensweisen und Techniken, die ein Auditor zur Sammlung und Bewertung von Prüfungsnachweisen (audit evidence) einsetzt. Die Auswahl der Methode hängt vom jeweiligen Prüfziel ab und umfasst häufig eine Kombination aus mehreren Ansätzen, wie zum Beispiel: (1) die Befragung von Mitarbeitern (Interviews), um Prozessabläufe und Verantwortlichkeiten zu verstehen, (2) die (automatisierte und manuelle) Durchsicht von Dokumenten wie Richtlinien, Konzepten und Protokollen zur Überprüfung der Vorgabenkonformität, (3) die direkte Beobachtung von Prozessen, um die tatsächliche Umsetzung einer Kontrolle zu verifizieren, sowie (4) technische Analysen, welche die Überprüfung von Systemkonfigurationen, die Auswertung von Logdateien oder die Durchführung von Stichproben bei Berechtigungen beinhalten können. Der Zweck dieser Anforderung ist es, eine strukturierte und nachvollziehbare Vorgehensweise bei jeder Prüfung zu gewährleisten. Ohne einen solchen Plan könnte eine Überprüfung chaotisch verlaufen, wichtige Bereiche übersehen oder Ressourcen ineffizient eingesetzt werden, was unentdeckte Schwachstellen zur Folge haben kann. Ein detaillierter Auditplan kann hingegen sicherstellen, dass alle relevanten Aspekte systematisch abgedeckt werden und schafft eine klare Erwartungshaltung sowie Verbindlichkeit für die Auditoren und die geprüften Stellen der Institution. Bewährt hat sich dabei eine chancen- und risikenorientierte Ressourcenverteilung, d.h. die Betrachtung genau jener Anforderungen, bei denen voraussichtlich ein hoher Mehrwert für die Risikobetrachtung durch das Audit zu erwarten ist. Für Details siehe ISO/IEC 19011-Reihe. Der Plan muss dokumentiert werden." + } + ] + }, + { + "id": "PERF.3.1.2", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Planen von internen Audits", + "props": [ + { + "name": "alt-identifier", + "value": "6f76ca8f-aadb-44b2-89ce-c35ac8a16d69" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "PERF.3.1.2_stm", + "name": "statement", + "props": [ + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Planung der internen Audits im Auditprogramm" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "risikoorientiert" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "ausführen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Monitoring-Evaluation MUSS die Planung der internen Audits im Auditprogramm risikoorientiert ausführen." + }, + { + "id": "PERF.3.1.2_gdn", + "name": "guidance", + "prose": "Ziel ist es, die Einhaltung von Sicherheitsanforderungen, die Wirksamkeit von Maßnahmen sowie mögliche Schwachstellen zu prüfen. Dabei wird die Effektivität und Effizienz aller angewandten Anforderungen sinnvoll geprüft. Risikoorientiert bedeutet hierbei, dass die Auswahl von Prüfobjekten sowie die Prüftiefe sich nach einer Risikobetrachtung richtet, also besonders risikorelevante Fragen vertieft betrachtet werden. Beispielsweise ist es sinnvoll bei automatisierten Richtlinien (Policies) nicht nur deren tatsächliche Aktivierung, sondern vor allem die erlaubten Ausnahmeregelungen auf Begründung, Befristung und Umfang zu prüfen, damit vermeintliche effektive Maßnahmen nicht durch zu weite Ausnahmeregelungen ausgehölt werden. Die Planung muss dokumentiert werden." + } + ] + }, + { + "id": "PERF.3.1.3", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Auswahl des Auditteams", + "props": [ + { + "name": "alt-identifier", + "value": "9c848e6f-ba7e-49de-9655-e95c57acafa3" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "PERF.3.1.3_stm", + "name": "statement", + "props": [ + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "fachlich geeignete und unabhängige Auditoren" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "zur Gewährleistung der Objektivität und Qualität der Audits" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "anweisen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Monitoring-Evaluation MUSS fachlich geeignete und unabhängige Auditoren zur Gewährleistung der Objektivität und Qualität der Audits anweisen." + }, + { + "id": "PERF.3.1.3_gdn", + "name": "guidance", + "prose": "Bei der Auswahl von Auditoren ist zu empfehlen insbesondere Fachkompetenz, Unabhängigkeit und Erfahrung zu berücksichtigen. Das Team muss über technisches und organisatorisches Wissen, Kenntnisse relevanter Normen und gesetzliche Anforderungen sowie die Fähigkeit zur objektiven, methodischen Bewertung verfügen, ohne in die zu prüfenden Prozesse direkt involviert zu sein." + } + ] + }, + { + "id": "PERF.3.1.4", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Umfang von Audits", + "props": [ + { + "name": "alt-identifier", + "value": "dd98f0ad-e27d-44dd-8a44-1fee1657b714" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "PERF.3.1.4_stm", + "name": "statement", + "props": [ + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "in angemessenem Umfang Audits" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "ausführen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Monitoring-Evaluation MUSS in angemessenem Umfang Audits ausführen." + }, + { + "id": "PERF.3.1.4_gdn", + "name": "guidance", + "prose": "Der Umfang eines Audits beschreibt, was, wie und in welchem Rahmen geprüft wird. Dazu gehören der organisatorische und technische Geltungsbereich (z. B. Standorte, Abteilungen, IT-Systeme), der Prüfzeitraum, sowie die eingesetzten Prüfmethoden wie Interviews, Dokumentensichtung oder Systemtests. Der Auditumfang wird vor Beginn des Audits klar definiert, um den Ablauf gezielt zu planen und die Ergebnisse nachvollziehbar zu dokumentieren." + } + ] + } + ] + } + ] + }, + { + "id": "PERF.4", + "title": "Bewertungsschema und Auditberichte", + "props": [ + { + "name": "label", + "value": "4" + }, + { + "name": "alt-identifier", + "value": "e930a1bb-35b2-4038-9193-34554c2cfa9a" + } + ], + "controls": [ + { + "id": "PERF.4.1", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Dokumentation von Auditergebnissen", + "props": [ + { + "name": "alt-identifier", + "value": "d173c0e0-9c22-414c-b4c8-633c7a75a406" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "links": [ + { + "href": "#PERF.3.1", + "rel": "related" + } + ], + "parts": [ + { + "id": "PERF.4.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Auditbericht" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "ein Verfahren zur Erstellung aussagekräftiger Auditberichte" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Monitoring-Evaluation MUSS ein Verfahren zur Erstellung aussagekräftiger Auditberichte verankern." + }, + { + "id": "PERF.4.1_gdn", + "name": "guidance", + "prose": "Ein Auditbericht muss nachvollziehbar, vollständig und strukturiert dokumentieren, wie das Audit durchgeführt wurde und welche Ergebnisse erzielt wurden. Er enthält Angaben zum Auditziel, Auditumfang, Auditteam, Auditmethoden, den bewerteten Bereichen sowie eine übersichtliche Darstellung der Feststellungen inklusive Abweichungen, Verbesserungspotenzialen und der Bewertung der Wirksamkeit der umgesetzten Sicherheitsmaßnahmen. Die Auditberichte sollten neben den identifizierten Schwachstellen auch positive Feststellungen enthalten, um ein ausgewogenes Bild zu vermitteln und Best Practices zu fördern." + } + ], + "controls": [ + { + "id": "PERF.4.1.1", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Einheitliches Bewertungsschema", + "props": [ + { + "name": "alt-identifier", + "value": "cbd3ce59-8979-4ae0-a6ee-f0779d9a2598" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "links": [ + { + "href": "#PERF.3.1", + "rel": "related" + } + ], + "parts": [ + { + "id": "PERF.4.1.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Auditbericht" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "für Feststellungen in Audits ein einheitliches Bewertungsschema" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "festlegen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Monitoring-Evaluation SOLLTE für Feststellungen in Audits ein einheitliches Bewertungsschema festlegen." + }, + { + "id": "PERF.4.1.1_gdn", + "name": "guidance", + "prose": "Das Bewertungsschema soll die einheitliche Bewertung, die Wirksamkeit der Auditprozesse und die Vergleichbarkeit von Auditergebnissen sicherstellen." + } + ] + }, + { + "id": "PERF.4.1.2", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Kommunikation an Stakeholder", + "props": [ + { + "name": "alt-identifier", + "value": "3f9935bd-65fa-4212-a7e7-726f39933c7d" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "links": [ + { + "href": "#PERF.3.1", + "rel": "related" + } + ], + "parts": [ + { + "id": "PERF.4.1.2_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Auditbericht" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine angemessene Kommunikation an alle relevanten Stakeholder" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "ausführen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Monitoring-Evaluation MUSS eine angemessene Kommunikation an alle relevanten Stakeholder ausführen." + }, + { + "id": "PERF.4.1.2_gdn", + "name": "guidance", + "prose": "Eine angemessene Kommunikation der Auditergebnisse an alle relevanten Stakeholder muss sichergestellt werden, um das Bewusstsein für identifizierte Risiken zu schärfen und die Umsetzung von Verbesserungsmaßnahmen zu fördern." + } + ] + } + ] + } + ] + }, + { + "id": "PERF.5", + "title": "Managementbewertungen", + "props": [ + { + "name": "label", + "value": "5" + }, + { + "name": "alt-identifier", + "value": "b285951e-ef2e-4a4c-987b-a68d08c5ca46" + } + ], + "controls": [ + { + "id": "PERF.5.1", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Eignungsprüfung", + "params": [ + { + "id": "perf.5.1-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "f9cf8bd8-9a68-4294-9e33-ab7b4f28c68c" + } + ], + "label": "regelmäßig" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "f9cf8bd8-9a68-4294-9e33-ab7b4f28c68c" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "PERF.5.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Managementbericht" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "das ISMS der Institution hinsichtlich Eignung, Angemessenheit und Wirksamkeit" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{regelmäßig}} sowie anlassbezogen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überprüfen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Monitoring-Evaluation MUSS das ISMS der Institution hinsichtlich Eignung, Angemessenheit und Wirksamkeit {{ insert: param, perf.5.1-prm1 }} sowie anlassbezogen überprüfen." + }, + { + "id": "PERF.5.1_gdn", + "name": "guidance", + "prose": "Damit die Institutionsleitung fundierte Entscheidungen zur Steuerung des Informationssicherheitsprozesses treffen kann, ist ein prägnanter Managementbericht erforderlich. Darin werden die wesentlichen Eckpunkte zum Stand der Informationssicherheit übersichtlich aufbereitet. Der Bericht SOLL: kurz, klar und verständlich sein, relevante Informationen bzw. Entwicklungen enthalten, nicht überfrachtet sein d.h. den Fokus auf das Wesentliche legen. So kann die Leitung gezielt Maßnahmen priorisieren und Ressourcen effektiv einsetzen. Es muss unter anderem deutlich werden, ob der beabsichtigte Sicherheitszweck wirksam erfüllt wird." + } + ], + "controls": [ + { + "id": "PERF.5.1.1", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Ergebnisse von Folgemaßnahmen", + "props": [ + { + "name": "alt-identifier", + "value": "917cda33-b472-4526-bdee-db022ffa506c" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "1" + } + ], + "parts": [ + { + "id": "PERF.5.1.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Managementbericht" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Ergebnisse dieser Überprüfungen in einem Managementbericht," + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "der den Status von Folgemaßnahmen vorangegangener Managementbewertungen enthält," + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Monitoring-Evaluation SOLLTE die Ergebnisse dieser Überprüfungen in einem Managementbericht, der den Status von Folgemaßnahmen vorangegangener Managementbewertungen enthält, dokumentieren." + }, + { + "id": "PERF.5.1.1_gdn", + "name": "guidance", + "prose": "Die Evaluierung von Folgemaßnahmen früherer Managementbewertungen dient der Prüfung, ob geplante Maßnahmen umgesetzt und ihre Ziele erreicht wurden. Dabei müssen Status, Wirksamkeit und mögliche Abweichungen nachvollziehbar dokumentiert und in die aktuelle Managementbewertung eingebunden werden. Die Ergebnisse dieser Überprüfungen basieren auf den vorab erstellten Auditberichten sowie der geforderten Eignungsprüfung." + } + ] + }, + { + "id": "PERF.5.1.2", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Geänderte Rahmenbedingungen", + "props": [ + { + "name": "alt-identifier", + "value": "a45c5319-e786-4c30-868e-84416d2f0fe4" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "1" + } + ], + "parts": [ + { + "id": "PERF.5.1.2_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Managementbericht" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Ergebnisse dieser Überprüfungen in einem Managementbericht," + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "der geänderte Rahmenbedingungen mit Auswirkungen auf das Informationssicherheitsmanagement berücksichtigt," + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Monitoring-Evaluation SOLLTE die Ergebnisse dieser Überprüfungen in einem Managementbericht, der geänderte Rahmenbedingungen mit Auswirkungen auf das Informationssicherheitsmanagement berücksichtigt, dokumentieren." + }, + { + "id": "PERF.5.1.2_gdn", + "name": "guidance", + "prose": "Die Ergebnisse der Überprüfung der Rahmenbedingungen – wie rechtliche, organisatorische, technische oder wirtschaftliche Veränderungen – müssen systematisch erfasst und auf ihre Auswirkungen auf das ISMS bewertet werden. Relevante Änderungen sind in der Managementbewertung einzubeziehen, da sie Einfluss auf die Risikobetrachtung und erforderliche Anforderungen bzw. Sicherheitsmaßnahmen haben können. Die Ergebnisse dieser Überprüfungen basieren auf den vorab erstellten Auditberichten sowie der geforderten Eignungsprüfung." + } + ] + }, + { + "id": "PERF.5.1.3", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Erfolge und Probleme", + "props": [ + { + "name": "alt-identifier", + "value": "3111f074-e762-4bf0-b0b4-3d548e27cef5" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "1" + } + ], + "parts": [ + { + "id": "PERF.5.1.3_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Managementbericht" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Ergebnisse dieser Überprüfungen in einem Managementbericht," + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "der bisherige Erfolge und Probleme (z. B. Sicherheitsvorfälle) beim Informationssicherheitsprozess berücksichtigt," + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Monitoring-Evaluation SOLLTE die Ergebnisse dieser Überprüfungen in einem Managementbericht, der bisherige Erfolge und Probleme (z. B. Sicherheitsvorfälle) beim Informationssicherheitsprozess berücksichtigt, dokumentieren." + }, + { + "id": "PERF.5.1.3_gdn", + "name": "guidance", + "prose": "Die Ergebnisse müssen im ISMS-Prozess berücksichtigt werden, um daraus gezielte Verbesserungen abzuleiten. Sie dienen als wichtige Eingaben für die Managementbewertung und unterstützen die Weiterentwicklung der Sicherheitsstrategie. Zu Erfolgen zählen z. B. wirksam umgesetzte Maßnahmen, erreichte Sicherheitsziele, erfolgreiche Audits/Prüfungen oder eine nachweisbare Reduktion von Risiken. Die Ergebnisse dieser Überprüfungen basieren auf den vorab erstellten Auditberichten sowie der geforderten Eignungsprüfung." + } + ] + }, + { + "id": "PERF.5.1.4", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Interne Überprüfungen und Audits", + "props": [ + { + "name": "alt-identifier", + "value": "15f611e0-cd25-4dec-b757-9d46e5c6b0e6" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "1" + } + ], + "parts": [ + { + "id": "PERF.5.1.4_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Managementbericht" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Ergebnisse dieser Überprüfungen in einem Managementbericht," + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "der Ergebnisse interner Überprüfungen und Audits enthält," + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Monitoring-Evaluation SOLLTE die Ergebnisse dieser Überprüfungen in einem Managementbericht, der Ergebnisse interner Überprüfungen und Audits enthält, dokumentieren." + }, + { + "id": "PERF.5.1.4_gdn", + "name": "guidance", + "prose": "Bei der Evaluierung müssen die Ergebnisse interner Überprüfungen und Audits dokumentiert werden, um festzustellen, ob das ISMS wirksam umgesetzt und aufrechterhalten wird. Dabei sind insbesondere identifizierte Abweichungen, Verbesserungspotenziale und umgesetzte Korrekturmaßnahmen nachvollziehbar darzustellen. Die Ergebnisse dieser Überprüfungen basieren auf den vorab erstellten Auditberichten sowie der geforderten Eignungsprüfung." + } + ] + }, + { + "id": "PERF.5.1.5", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Eignungsprüfung bisheriger Sicherheitsmaßnahmen", + "props": [ + { + "name": "alt-identifier", + "value": "85b88ff7-5d53-43cc-b824-2b55d6635386" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "1" + } + ], + "parts": [ + { + "id": "PERF.5.1.5_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Managementbericht" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Ergebnisse dieser Überprüfungen in einem Managementbericht," + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "der eine Bewertung enthält, ob sich die Sicherheitsmaßnahmen zur Erreichung der Sicherheitsziele als geeignet erwiesen haben oder ob Maßnahmen geändert oder ergänzt werden müssen," + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Monitoring-Evaluation SOLLTE die Ergebnisse dieser Überprüfungen in einem Managementbericht, der eine Bewertung enthält, ob sich die Sicherheitsmaßnahmen zur Erreichung der Sicherheitsziele als geeignet erwiesen haben oder ob Maßnahmen geändert oder ergänzt werden müssen, dokumentieren." + }, + { + "id": "PERF.5.1.5_gdn", + "name": "guidance", + "prose": "Zur Bewertung, ob Sicherheitsmaßnahmen zur Erreichung der Sicherheitsziele geeignet sind, müssen die Maßnahmen systematisch den jeweiligen Zielen zugeordnet und ihre Wirksamkeit anhand konkreter Nachweise (z. B. Auditergebnisse, Vorfallanalysen, Tests) überprüft werden. Werden Defizite festgestellt, sind die Maßnahmen entsprechend anzupassen, zu ergänzen oder durch geeignetere zu ersetzen. Die Ergebnisse dieser Überprüfung sind nachvollziehbar zu dokumentieren und in den Managementbericht einzubringen und basieren auf den vorab erstellten Auditberichten sowie der geforderten Eignungsprüfung." + } + ] + }, + { + "id": "PERF.5.1.6", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Rückmeldung von Stakeholdern", + "props": [ + { + "name": "alt-identifier", + "value": "65fd515e-d390-49f5-87b4-68aaaf392e9f" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "1" + } + ], + "parts": [ + { + "id": "PERF.5.1.6_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Managementbericht" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Ergebnisse dieser Überprüfungen in einem Managementbericht," + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "der Rückmeldungen von Kunden, Geschäftspartnern, Mitarbeitern oder der Öffentlichkeit zu Sicherheitsaspekten bei der Bewertung berücksichtigt," + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Monitoring-Evaluation SOLLTE die Ergebnisse dieser Überprüfungen in einem Managementbericht, der Rückmeldungen von Kunden, Geschäftspartnern, Mitarbeitern oder der Öffentlichkeit zu Sicherheitsaspekten bei der Bewertung berücksichtigt, dokumentieren." + }, + { + "id": "PERF.5.1.6_gdn", + "name": "guidance", + "prose": "Betroffene Personen wie z. B. Kunden, Geschäftspartner und die Öffentlichkeit sollen aktiv zu Sicherheitsaspekten befragt oder deren Feedback systematisch erfasst werden, z. B. über Umfragen, Beschwerden, Supportanfragen oder öffentliche Bewertungen. Dieses Feedback ist auf Relevanz und Auswirkungen für das ISMS zu prüfen, zu dokumentieren und bei Bedarf in Risikobetrachtungen und Verbesserungsmaßnahmen einzubeziehen. Verantwortliche müssen sicherstellen, dass Rückmeldungen zeitnah ausgewertet und bei der Weiterentwicklung der Sicherheitsmaßnahmen berücksichtigt werden. Die Ergebnisse dieser Überprüfungen basieren auf den vorab erstellten Auditberichten sowie der geforderten Eignungsprüfung." + } + ] + }, + { + "id": "PERF.5.1.7", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Status des Realisierungsplans", + "props": [ + { + "name": "alt-identifier", + "value": "d24f550c-1502-4587-899b-5e7594363419" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "1" + } + ], + "parts": [ + { + "id": "PERF.5.1.7_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Managementbericht" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Ergebnisse dieser Überprüfungen in einem Managementbericht," + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "der Berichte über die Reduzierung bestehender Umsetzungsdefizite und der damit verbundenen Risiken (Status des Realisierungsplans)" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Monitoring-Evaluation SOLLTE die Ergebnisse dieser Überprüfungen in einem Managementbericht, der Berichte über die Reduzierung bestehender Umsetzungsdefizite und der damit verbundenen Risiken (Status des Realisierungsplans) dokumentieren." + }, + { + "id": "PERF.5.1.7_gdn", + "name": "guidance", + "prose": "Die Überprüfung von Umsetzungsdefiziten und Risiken ist im ISMS ein zentraler Bestandteil des Monitorings und der Evaluierung. Monitoring sorgt für die kontinuierliche Beobachtung des Fortschritts bei Maßnahmenumsetzung, während die Evaluierung die Wirksamkeit dieser Maßnahmen bewertet und bei Bedarf Anpassungen empfiehlt. So wird sichergestellt, dass Risiken nachhaltig reduziert und Sicherheitsziele erreicht werden. D. h. der Status des Realisierungsplans muss fortlaufend überprüft werden. Die Ergebnisse dieser Überprüfungen basieren auf den vorab erstellten Auditberichten sowie der geforderten Eignungsprüfung." + } + ] + }, + { + "id": "PERF.5.1.8", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Verbesserungen", + "props": [ + { + "name": "alt-identifier", + "value": "f591a6d1-19bc-4b0d-8d4d-48f9afa67e40" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "1" + } + ], + "parts": [ + { + "id": "PERF.5.1.8_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Managementbericht" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Ergebnisse dieser Überprüfungen in einem Managementbericht," + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "der die Ergebnisse der Bewertung in Form von Verbesserungen in das ISMS einfließen lässt," + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Monitoring-Evaluation SOLLTE die Ergebnisse dieser Überprüfungen in einem Managementbericht, der die Ergebnisse der Bewertung in Form von Verbesserungen in das ISMS einfließen lässt, dokumentieren." + }, + { + "id": "PERF.5.1.8_gdn", + "name": "guidance", + "prose": "Hier ist zu dokumentieren, 1. ob identifizierte Verbesserungsmaßnahmen tatsächlich umgesetzt wurden (z.B. Änderungen an Prozessen, technische Anpassungen, Schulungen). 2. in welcher Form diese Maßnahmen ins ISMS eingeflossen sind, also ob sie dokumentiert, in der Risikobetrachtung berücksichtigt und in den Steuerungsprozessen verankert wurden. 3. ob die Verbesserungen die angestrebte Wirkung zeigen, also zur Reduzierung von Risiken oder zur Erreichung der Sicherheitsziele beitragen. 4. ob die Maßnahmen dauerhaft aufrechterhalten und kontinuierlich überwacht werden, um nachhaltige Verbesserungen sicherzustellen. Die Ergebnisse dieser Evaluierung sind nachvollziehbar zu dokumentieren und bilden die Grundlage für weitere Entscheidungen im Rahmen des kontinuierlichen Verbesserungsprozesses und basieren auf den vorab erstellten Auditberichten sowie der geforderten Eignungsprüfung." + } + ] + }, + { + "id": "PERF.5.1.9", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Maßnahmenvorschläge", + "props": [ + { + "name": "alt-identifier", + "value": "c6ecb13d-2c6a-495d-89fd-8d9e699b3ff9" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "PERF.5.1.9_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Managementbericht" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Ergebnisse dieser Überprüfungen in einem Managementbericht," + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "der priorisierte Maßnahmenvorschläge mit realistischen Abschätzungen zum erwarteten Umsetzungsaufwand enthält," + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Monitoring-Evaluation MUSS die Ergebnisse dieser Überprüfungen in einem Managementbericht, der priorisierte Maßnahmenvorschläge mit realistischen Abschätzungen zum erwarteten Umsetzungsaufwand enthält, dokumentieren." + }, + { + "id": "PERF.5.1.9_gdn", + "name": "guidance", + "prose": "Maßnahmenvorschläge müssen daraufhin überprüft werden, ob sie wirksam zur Risikoreduktion beitragen und mit vertretbarem Aufwand umsetzbar sind. Dabei sind Nutzen, Kosten, technischer und organisatorischer Aufwand realistisch abzuschätzen und in Relation zueinander zu bewerten, um fundierte Entscheidungen zur Umsetzung und Priorisierung treffen zu können. Die Ergebnisse dieser Überprüfungen basieren auf den vorab erstellten Auditberichten sowie der geforderten Eignungsprüfung." + } + ] + } + ] + }, + { + "id": "PERF.5.2", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Bericht an die Institutionsleitung", + "params": [ + { + "id": "perf.5.2-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "5d8dccb2-5fea-43c1-a804-0b49f481a1ca" + } + ], + "label": "regelmäßig" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "5d8dccb2-5fea-43c1-a804-0b49f481a1ca" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "links": [ + { + "href": "#PERF.5.1", + "rel": "required" + } + ], + "parts": [ + { + "id": "PERF.5.2_stm", + "name": "statement", + "props": [ + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Institutionsleitung über den Stand des Managementsystems" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{regelmäßig}} anhand des Managementberichtes" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "informieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Monitoring-Evaluation MUSS die Institutionsleitung über den Stand des Managementsystems {{ insert: param, perf.5.2-prm1 }} anhand des Managementberichtes informieren." + }, + { + "id": "PERF.5.2_gdn", + "name": "guidance", + "prose": "Sinn und Zweck der Anforderung liegt darin, die Leitungsebene regelmäßig und nachvollziehbar über den Sicherheitsstatus sowie über wesentliche Entwicklungen zu informieren. Damit kann die Leitung faktenbasiert Entscheidungen treffen, Prioritäten setzen und Ressourcen zielgerichtet bereitstellen. Ohne einen solchen Bericht könnte ein kritisches Risiko unbemerkt bleiben oder verspätet adressiert werden, etwa wenn wiederholt unbefugte Zugriffe auf sensible Daten auftreten. Ein gut aufbereiteter Bericht kann hingegen Transparenz schaffen, Verantwortlichkeiten verdeutlichen und Vertrauen in die Steuerung der Institution fördern. Zur Umsetzung ist ein fester Rhythmus für die Erstellung des Managementberichts zu etablieren, etwa quartalsweise oder anlassbezogen nach einem schweren Vorfall. Der Bericht kann eine verdichtete Darstellung enthalten, zum Beispiel in Form von übersichtlichen Kennzahlen (Anzahl relevanter Vorfälle, Zeit bis zur Entdeckung, Erfüllungsgrad definierter Sicherheitsmaßnahmen) und Trendanalysen. Ergänzend kann eine einheitliche Vorlage genutzt werden, die eine klare Struktur vorgibt, sodass die Leitungsebene schnell die entscheidenden Punkte erkennt. Technisch kann dies durch den Einsatz gängiger Office-Tools unterstützt werden, etwa durch die Visualisierung von Trends in Diagrammen. Prozessual können Rückfragen und Diskussionen in einer kurzen Managementrunde eingeplant werden, um den reinen Informationsfluss zu einem aktiven Austausch zu machen." + } + ] + } + ] + }, + { + "id": "PERF.6", + "title": "Monitoringmethoden und -tools", + "props": [ + { + "name": "label", + "value": "6" + }, + { + "name": "alt-identifier", + "value": "5d92a4e2-7171-41cf-b39b-5b272e9e7f24" + } + ], + "controls": [ + { + "id": "PERF.6.1", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Sicherheitsvorfälle", + "params": [ + { + "id": "perf.6.1-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "17e221bd-3b74-453a-ad4e-e2cb346b6af5" + } + ], + "label": "regelmäßigen" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "17e221bd-3b74-453a-ad4e-e2cb346b6af5" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "PERF.6.1_stm", + "name": "statement", + "props": [ + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "effektive Monitoring-Methoden und -tools" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "zur {{regelmäßigen}} Überwachung der Informationssicherheit" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Monitoring-Evaluation MUSS effektive Monitoring-Methoden und -tools zur {{ insert: param, perf.6.1-prm1 }} Überwachung der Informationssicherheit verankern." + }, + { + "id": "PERF.6.1_gdn", + "name": "guidance", + "prose": "Die Implementierung von Monitoring-Methoden und -tools sollte an die individuellen Bedürfnisse und Möglichkeiten der Institution angepasst sein. Während kleinere Institutionen mit einfacheren Lösungen arbeiten können, benötigen größere und komplexere Umgebungen oft umfassendere und stärker automatisierte Ansätze. Die gewonnenen Monitoring-Daten sollten systematisch ausgewertet und für verschiedene Zwecke genutzt werden, darunter die Erstellung von Kennzahlen und Berichten, die Früherkennung von Sicherheitsrisiken, die Unterstützung der Incident Response und die kontinuierliche Verbesserung des ISMS. Beispielhafte Tools für die Überwachung von Informationssicherheit sind Security Information and Event Management (SIEM) Systeme für die zentrale Sammlung, Korrelation und Analyse von Sicherheitsereignissen aus verschiedenen Quellen; Intrusion Detection/Prevention Systeme (IDS/IPS) zur Erkennung und Abwehr verdächtiger Netzwerkaktivitäten; Vulnerability Management Systeme zur systematischen Identifikation und Behandlung von Schwachstellen sowie Configuration Monitoring Tools zur Überwachung von Konfigurationsänderungen in Systemen und Anwendungen." + } + ], + "controls": [ + { + "id": "PERF.6.1.1", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Sicherheitsvorfälle", + "props": [ + { + "name": "alt-identifier", + "value": "3c76f9bf-7a52-4ba4-a9dd-f351e543ca9f" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "PERF.6.1.1_stm", + "name": "statement", + "props": [ + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Sicherheitsvorfälle" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überwachen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Monitoring-Evaluation MUSS Sicherheitsvorfälle überwachen." + }, + { + "id": "PERF.6.1.1_gdn", + "name": "guidance", + "prose": "Die frühzeitige Identifikation und Meldung von Vorfällen muss ermöglicht werden. Dies kann von manuellen Prozessen bis hin zu automatisierten Erkennungssystemen reichen. Es sollen klare Meldewege, technische Überwachungsmechanismen (z. B. Log-Analyse, Intrusion Detection), Verantwortlichkeiten sowie Kriterien zur Klassifikation von Vorfällen vorliegen. So wird gewährleistet, dass sicherheitsrelevante Ereignisse frühzeitig erkannt, bewertet und in den ISMS-Verbesserungsprozess eingebunden werden." + } + ] + }, + { + "id": "PERF.6.1.2", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Schwachstellen", + "props": [ + { + "name": "alt-identifier", + "value": "4f185314-4f6f-4539-b14e-d230c84ecd4d" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "PERF.6.1.2_stm", + "name": "statement", + "props": [ + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "einen Umgang mit Schwachstellen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "festlegen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Monitoring-Evaluation MUSS einen Umgang mit Schwachstellen festlegen." + }, + { + "id": "PERF.6.1.2_gdn", + "name": "guidance", + "prose": "Dies sollte die systematische Identifikation, Bewertung, Behandlung und Nachverfolgung von Schwachstellen umfassen. Schwachstellen müssen systematisch erfasst, auf ihre sicherheitsrelevante Bedeutung geprüft und in die Risikobetrachtung des ISMS übernommen werden. Daraus abgeleitete Maßnahmen sind zu priorisieren, umzusetzen und im Rahmen des Monitorings und der Evaluierung regelmäßig auf ihre Wirksamkeit hin zu überprüfen sowie zu dokumentieren. Die gewonnenen Monitoring-Daten sollten systematisch ausgewertet und für verschiedene Zwecke genutzt werden, darunter die Erstellung von Kennzahlen und Berichten, die Früherkennung von Sicherheitsrisiken, die Unterstützung der Incident Response und die kontinuierliche Verbesserung des ISMS." + } + ] + }, + { + "id": "PERF.6.1.3", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Bedrohungen", + "props": [ + { + "name": "alt-identifier", + "value": "4599c41b-8c08-46cc-a88d-3a2ab141994c" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "PERF.6.1.3_stm", + "name": "statement", + "props": [ + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "einen Umgang zur Erkennung und Reaktion auf neu auftretende Bedrohungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "festlegen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Monitoring-Evaluation MUSS einen Umgang zur Erkennung und Reaktion auf neu auftretende Bedrohungen festlegen." + }, + { + "id": "PERF.6.1.3_gdn", + "name": "guidance", + "prose": "Ein Verfahren zur Erfassung und Reaktion neu auftretende Bedrohungen stellt sicher, dass diese mit Beschreibung und Bewertung dokumentiert werden; dass die Risikobetrachtung bei Bedarf aktualisiert wird; eine Neubestimmung von Eintrittswahrscheinlichkeit und Schadensausmaß erfolgt; dass geeignete Gegenmaßnahmen abgeleitet werden; die Risiken priorisiert und mit klaren Verantwortlichkeiten versehen werden; dass die neuen Risiken in bestehende Risikobetrachtungsprozesse integriert werden und dass das Management regelmäßig über die aktuelle Risikolage und die Wirksamkeit der umgesetzten Maßnahmen unterrichtet wird." + } + ] + } + ] + } + ] + }, + { + "id": "PERF.7", + "title": "Validierung der Anforderungen", + "props": [ + { + "name": "label", + "value": "7" + }, + { + "name": "alt-identifier", + "value": "b47fdba9-8ca5-49e3-9d96-d44627477a6d" + } + ], + "controls": [ + { + "id": "PERF.7.1", + "class": "BSI-Methodik-Grundschutz-plus-plus", + "title": "Aktualität der Anforderungen", + "params": [ + { + "id": "perf.7.1-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "1d6e2d9d-a9b9-46cb-9079-a2587c90c661" + } + ], + "label": "regelmäßig" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "1d6e2d9d-a9b9-46cb-9079-a2587c90c661" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "PERF.7.1_stm", + "name": "statement", + "props": [ + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Aktualität der Anforderungen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{regelmäßig}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überprüfen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Monitoring-Evaluation MUSS die Aktualität der Anforderungen {{ insert: param, perf.7.1-prm1 }} überprüfen." + }, + { + "id": "PERF.7.1_gdn", + "name": "guidance", + "prose": "Die Verifikation sollte folgende Aspekte umfassen: Das Anforderungspaket sollte regelmäßig (i.A. jährlich, je nach Organisationsgröße, Parameter und Prüftiefe) in Hinblick auf die Modellierung überprüft werden, um ihre Aktualität und Angemessenheit in Bezug auf den Informationsverbund zu bewerten. Bei der Überprüfung sollten veränderte Geschäftsprozesse, neue IT-Komponenten, organisatorische Änderungen und externe Faktoren wie neue regulatorische Anforderungen oder veränderte Bedrohungslandschaften berücksichtigt werden. Die Überprüfung sollte in Abstimmung mit den zuständigen Bereichen erfolgen, um sicherzustellen, dass alle relevanten Perspektiven einbezogen werden. Bei Bedarf sollten Anpassungen der Auswahl der Anforderungen vorgenommen werden, um den aktuellen Anforderungen gerecht zu werden. Wenn signifikante Anpassungen erforderlich sind, können diese zu einer Neumodellierung oder Erweiterung des Anforderungspakets führen, was wiederum den gesamten Zyklus der Strukturmodellierung und Umsetzung beeinflusst. Die Verifikation sollte dokumentiert werden." + } + ] + } + ] + } + ] + }, + { + "id": "ASST", + "title": "Informationen und Assets", + "props": [ + { + "name": "label", + "value": "ASST", + "remarks": "Im Rahmen der IT-Komponenten stellt das Asset Management sicher, dass die IT-Komponenten erfasst und inventarisiert werden. Hierbei geht es darum eine Übersicht, über relevante \"Assets\", wie Server, Clients, Netzwerkkomponenten sowie auch Datenträger sowie deren Verantwortlichkeiten, Besitzer oder auch Produktlebenszyklus zu haben. Des Weiteren soll im Rahmen des Asset Management auch die Ist-Dokumentation der Komponenten (z.B. Konfiguration, Patch-Level, Kritikalitätsstufen) erfasst werden. Während die Praktik \"Konfiguration\" die Parameter einer IT-Komponenten betrachtet und IT-Betrieb die Vorgehensweisen zu Wartung und Pflege von IT-Komponenten, betrachtet Asset Management die Übersicht und Dokumentation aller IT-Komponenten." + }, + { + "name": "alt-identifier", + "value": "02088622-573d-4225-883c-9afe0c7dc69b" + } + ], + "groups": [ + { + "id": "ASST.1", + "title": "Grundlagen", + "props": [ + { + "name": "label", + "value": "1" + }, + { + "name": "alt-identifier", + "value": "94bfadab-43f6-48d7-ac5e-49b8fbcf2794" + } + ], + "controls": [ + { + "id": "ASST.1.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Verfahren und Regelungen", + "props": [ + { + "name": "alt-identifier", + "value": "b3a2e5a0-380a-4770-86e6-ea1d8d586ad7" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "ASST.1.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Verfahren und Regelungen zum Management von Informationen und damit verbundener Assets" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Informationen und Assets MUSS Verfahren und Regelungen zum Management von Informationen und damit verbundener Assets verankern." + }, + { + "id": "ASST.1.1_gdn", + "name": "guidance", + "prose": "Informationsmanagement ist der systematische Umgang mit Informationen während ihres gesamten Lebenszyklus, einschließlich von Regelungen, Prozessen und technischen Verfahren zur Erhebung, Verarbeitung, Speicherung, sowie Löschung und Vernichtung. Dazu gehören z.B. Schutzbedarf, Verarbeitung in den Geschäftsprozessen, Aufbewahrungs- und Löschfristen. Die bei der Festlegung des Verfahrens im Einzelnen zu berücksichtigenden Inhalte ergeben sich aus den Anforderungen dieser Praktik." + } + ], + "controls": [ + { + "id": "ASST.1.1.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Dokumentation", + "props": [ + { + "name": "alt-identifier", + "value": "a35e9d4f-11a0-4d7e-a3b6-e4e71d7c56ca" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "ASST.1.1.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Verfahren und Regelungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Informationen und Assets MUSS die Verfahren und Regelungen dokumentieren." + }, + { + "id": "ASST.1.1.1_gdn", + "name": "guidance", + "prose": "Ohne eine Dokumentation könnte die Einhaltung der Verfahren und Regelungen von der Tagesform oder dem individuellen Wissen einzelner Mitarbeiter abhängen, was zu inkonsistenten Entscheidungen und Fehlern führen könnte; insbesondere beim Ausscheiden eines langjährigen Administrators könnte wertvolles prozessuales Wissen verloren gehen. Eine klare Dokumentation sichert die Verbindlichkeit und Wiederholbarkeit und dient als unverzichtbare Grundlage für die Einarbeitung neuer Kollegen, für die Durchführung von Audits und zur einheitlichen Anwendung der Regeln in der gesamten Institution. Die Dokumentation kann in einem eigenständigen Dokument als Richtlinie erfolgen, aber auch als Abschnitt in einem bereits bestehenden Dokument oder über die digital strukturiere Erfassung von Maßnahmen zur Umsetzung der Anforderungen, etwa über eine Software zum Management der Informationssicherheit. Sinnvoll ist es Ort und Struktur der Dokumentation an der jeweiligen Zielgruppe, d.h. den für das Management und die Umsetzung verantwortlichen Personen oder Rollen, auszurichten." + } + ] + }, + { + "id": "ASST.1.1.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Zuweisung der Aufgaben", + "params": [ + { + "id": "asst.1.1.2-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "c2e8fafc-2e0d-40ad-b3ec-c572bf70a2b7" + } + ], + "label": "zuständigen Personen oder Rollen" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "c2e8fafc-2e0d-40ad-b3ec-c572bf70a2b7" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "ASST.1.1.2_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Geschäftsverteilungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die mit den Verfahren und Regelungen verbundenen Aufgaben" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{zuständigen Personen oder Rollen}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "zuweisen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Informationen und Assets MUSS die mit den Verfahren und Regelungen verbundenen Aufgaben {{ insert: param, asst.1.1.2-prm1 }} zuweisen." + }, + { + "id": "ASST.1.1.2_gdn", + "name": "guidance", + "prose": "Die Zuweisung von Aufgaben bezeichnet die eindeutige und verbindliche Übertragung von konkreten Tätigkeiten und Verantwortlichkeiten des Änderungsprozesses, wie etwa die Risikobewertung, die technische Umsetzung oder die finale Freigabe, an definierte Stellen in der Institution. Der Sinn dieser Vorschrift ist es, die Verantwortlichkeit (\"Accountability\") für jeden einzelnen Schritt im Prozess klarzustellen. Ohne eine solche Zuweisung könnten kritische Prüfungen unterbleiben, weil sich niemand explizit zuständig fühlt, was wiederum die Wahrscheinlichkeit fehlgeschlagener Änderungen erhöht. Eine klare Regelung kann sicherstellen, dass keine Aufgaben übersehen werden und jede Tätigkeit von einer dafür qualifizierten und befugten Stelle ausgeführt wird, was die Prozesssicherheit signifikant erhöht. Eine bewährte Methode zur Umsetzung ist die Erstellung einer RACI-Matrix (Responsible, Accountable, Consulted, Informed), die tabellarisch für jeden Prozessschritt darstellt, wer für die Durchführung verantwortlich ist, wer die Gesamtverantwortung trägt, wer zu konsultieren und wer zu informieren ist. Diese Zuständigkeiten können auch direkt in einem Workflow- oder Ticketsystem abgebildet werden, sodass Aufgaben, wie beispielsweise Genehmigungsschritte, automatisch an die richtige Gruppe oder Person weitergeleitet werden. Sinnvoll ist es die Zuweisung anhand von Rollen (z.B. \"Anwendungsverantwortlicher\", \"Netzwerkadministrator\", \"Change Manager\") vorzunehmen, statt an konkrete Personen. Dieser Ansatz stellt sicher, dass die Prozesse auch bei Personalwechseln stabil weiterlaufen, da die Zuständigkeit an die Funktion und nicht an das Individuum gebunden ist." + } + ] + }, + { + "id": "ASST.1.1.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Bekanntgabe", + "props": [ + { + "name": "alt-identifier", + "value": "36165531-a3f9-4efc-a667-8b5cb57e0938" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "ASST.1.1.3_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die zuständigen Personen oder Rollen über die Verfahren und Regelungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "informieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Informationen und Assets MUSS die zuständigen Personen oder Rollen über die Verfahren und Regelungen informieren." + }, + { + "id": "ASST.1.1.3_gdn", + "name": "guidance", + "prose": "Wenn die Zuständigen die etablierten Verfahren nicht kennen, besteht die Gefahr, dass diese – sei es aus Unwissenheit oder Bequemlichkeit – umgangen werden, was die Schutzwirkung des gesamten Managementsystems untergräbt. So könnte ein neuer Systemadministrator eine weitreichende Konfigurationsänderung vornehmen, ohne den vorgeschriebenen Genehmigungsprozess zu durchlaufen, was zu einem unbemerkten Sicherheitsrisiko führen könnte. Eine gezielte Information kann hingegen die Akzeptanz der Regelungen fördern und sicherstellen, dass alle Beteiligten ihre Rolle im Prozess verstehen und die Abläufe korrekt anwenden. Zur Umsetzung ist es sinnvoll die Dokumentation im Rahmen eines Onboarding-Prozesses bekanntzugeben und bei allen Änderungen eine automtatische Benachrichtigung aller zuständigen Personen oder Rollen anzustoßen." + } + ] + } + ] + }, + { + "id": "ASST.1.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Regelmäßige Überprüfung", + "params": [ + { + "id": "asst.1.2-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "28b3c126-8ba5-4fcc-8cb1-84b79f1bff4d" + } + ], + "label": "regelmäßig" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "28b3c126-8ba5-4fcc-8cb1-84b79f1bff4d" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "ASST.1.2_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Übungs- und Prüfplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Verfahren und Regelungen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{regelmäßig}} und anlassbezogen auf Aktualität" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überprüfen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Informationen und Assets MUSS die Verfahren und Regelungen {{ insert: param, asst.1.2-prm1 }} und anlassbezogen auf Aktualität überprüfen." + }, + { + "id": "ASST.1.2_gdn", + "name": "guidance", + "prose": "Eine geplante Überprüfung der etablierten Verfahren und Regelungen dient dazu festzustellen, ob diese noch wirksam, effizient und an die aktuellen Gegebenheiten angepasst sind. Eine anlassbezogene Überprüfung wird durch spezifische Ereignisse ausgelöst, wie etwa einen schwerwiegenden Sicherheitsvorfall, eine strategische Neuausrichtung der IT oder neue gesetzliche Anforderungen. Der Zweck dieser Anforderung ist es, die kontinuierliche Verbesserung und Anpassungsfähigkeit des Prozesses sicherzustellen, da veraltete Regelungen neuen technologischen Entwicklungen oder Bedrohungen nicht mehr gerecht werden könnten; ein vor Jahren für monolithische Anwendungen konzipierter Prozess ist beispielsweise für agile Entwicklungsmethoden oder Microservice-Architekturen ungeeignet. Die regelmäßige Überprüfung kann die Effektivität des Sicherheitsmanagements langfristig aufrechterhalten und die Resilienz der Institution stärken." + } + ] + } + ] + }, + { + "id": "ASST.2", + "title": "Inventarisierung", + "props": [ + { + "name": "label", + "value": "2" + }, + { + "name": "alt-identifier", + "value": "3fb5e678-1707-4204-ae7a-9f4d326dd9c2" + } + ], + "controls": [ + { + "id": "ASST.2.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Inventar der Informationen", + "props": [ + { + "name": "alt-identifier", + "value": "c07f7e22-1641-41e2-a29c-f1180ff9f601" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Inventories" + } + ], + "links": [ + { + "href": "#ARCH.2.4", + "rel": "related" + } + ], + "parts": [ + { + "id": "ASST.2.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Inventar Informationen" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "ein Inventar der Informationen und damit verbundener Assets" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Informationen und Assets SOLLTE ein Inventar der Informationen und damit verbundener Assets dokumentieren." + }, + { + "id": "ASST.2.1_gdn", + "name": "guidance", + "prose": "Um die Informationssicherheit zu schützen ist es erforderlich, die zu schützenden Werte systematisch zu erfassen und ihre Verwendung über den gesamten Lebenszyklus nachzuhalten. Sinnvoll ist es hierbei, den Detaillierungsgrad des Inventars angepasst an Schutzbedarf und Risikoprofil des Informationsverbundes zu wählen. Das Inventar kann eine Übersicht der für Geschäftsprozesse relevanten Kategorien von schützenswerten Informationen, z.B. für Kunden Vor- und Nachname, Adresse, IBAN, Telefonnummer, Kundenkennwort als Grundlage haben. Es muss sich allerdings nicht um eine einzige Liste von Informationen und Assets handeln. Um eine leichtere, automatische Pflege des Inventars zu ermöglichen ist es vielmehr sinnvoll, eine Reihe dynamischer Inventare oder Datenbestände möglichst nahe an der Quelle der Informationen zu verwenden, z.B. eine Verzeichnisdatenbank für Zugangskonten und Systeme, eine Anwendung zum Assetmanagement für physische Assets, sowie Dateisysteme oder Datenbanken für einzelne Dateien und Daten. Falls ein datenschutzrechtliches Verarbeitungsverzeichnis für die Erfassung von personenbezogenen Daten besteht, kann es ebenfalls in das Inventar einbezogen werden. Für physische Dokumente kann ein Aktenbestandsverzeichnis eingesetzt werden. Zur Erfassung von Netzen siehe Praktik Architektur. Zur Erfassung von Identitäten, Zugangskonten und Berechtigungen siehe Praktik Berechtigung. Für kurzlebige Informationen, z.B. virtuelle Maschinen, nur on-demand automatisch eingerichtet und wieder gelöscht werden oder händische Notizen, die nicht systematisch verarbeitet werden, ist keine Inventur erforderlich. Für Details zum IT-Assetmanagement siehe ISO/IEC 19770-1." + } + ], + "controls": [ + { + "id": "ASST.2.1.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Informationsverantwortung", + "params": [ + { + "id": "asst.2.1.1-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "eae7145a-228e-47ca-9a09-7a4a3b74ac55" + } + ], + "label": "einer zuständigen Person oder Rolle" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "eae7145a-228e-47ca-9a09-7a4a3b74ac55" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "ASST.2.1.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Daten" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Inventar Informationen" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Zuständigkeit für deren Verarbeitung" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{einer zuständigen Person oder Rolle}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "zuweisen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Informationen und Assets für Daten SOLLTE die Zuständigkeit für deren Verarbeitung {{ insert: param, asst.2.1.1-prm1 }} zuweisen." + }, + { + "id": "ASST.2.1.1_gdn", + "name": "guidance", + "prose": "Hiermit ist das Eigentum oder die institutionsinterne Zuständigkeit für die Nutzung und den damit einhergehenden Schutz der jeweiligen Informationen und Assets (Asset Ownership) gemeint. Klare Zuweisungen stellen sicher, dass den Beteiligten nicht nur ihre prozessualen Aufgaben, sondern auch ihre Zuständigkeit für die konkreten Informationen bewusst und die damit verbundenen Pflichten bewusst sind. Dies kann durch dezentrales Nachhalten der Verantwortung nachgehalten werden. Alternativ kann auch eine Gruppierung der Informationen nach Assets wie Anwendungen oder Diensten umgesetzt werden, so dass die Zuständigen für das Asset dadurch auch die Zuständigkeit für die Informationen enthalten, die dort verarbeitet werden." + } + ] + } + ] + }, + { + "id": "ASST.2.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Inventar der Systeme", + "props": [ + { + "name": "alt-identifier", + "value": "b10fc10c-a3be-4b30-977a-6a2d020760d6" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Inventories, Zero Trust" + } + ], + "parts": [ + { + "id": "ASST.2.2_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Inventar IT-Systeme" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "ein Inventar der IT-Systeme" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "einschließlich Identifikationsbezeichnung und letztem bekannten Verbleib" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Informationen und Assets SOLLTE ein Inventar der IT-Systeme einschließlich Identifikationsbezeichnung und letztem bekannten Verbleib dokumentieren." + }, + { + "id": "ASST.2.2_gdn", + "name": "guidance", + "prose": "Hierbei sind neben physischen Endgeräten auch Hostsysteme, virtuelle Systeme, IoT-Geräte, Funkgeräte und Fahrzeuge relevant, wenn diese für die Verarbeitung von Daten aus dem Informationsverbund bestimmt sind. Als Identifikationsbezeichnung ist z.B. die Identifikationsnummer gemeint. Hierzu können z.B. eine Gerätenummer, Hardware-MAC-Adresse oder ein DNS-Name zählen, anhand derer das System eindeutig und nachvollziehbar identifiziert wird. Mit Verbleib ist hier z.B. der physische Standort, die Person, das Virtualisierungssystem oder die Netzadresse gemeint, wo das IT-System zu finden ist. Kann durch Integration in das Inventar der Informationen umgesetzt werden. Ein Asset-Inventar kann im einfachsten Fall händisch gepflegt werden. Empfehlenswert ist jedoch, auch automatisierte Systeme zum Erfassen von Asset-Inventar (z.B. Verzeichnisdienste, CMDB, DHCP-Logging, Passive Asset Discovery Tools, EDR oder MDM) einzusetzen." + } + ], + "controls": [ + { + "id": "ASST.2.2.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Aufdecken unautorisierter IT-Systeme", + "props": [ + { + "name": "alt-identifier", + "value": "02a49908-868b-45de-9ce5-56cb230ab8ee" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Rogue Access Point" + } + ], + "links": [ + { + "href": "#DET.4.19", + "rel": "related" + } + ], + "parts": [ + { + "id": "ASST.2.2.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Netze" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "das Aufdecken unautorisierter IT-Systeme" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Informationen und Assets für Netze SOLLTE das Aufdecken unautorisierter IT-Systeme verankern." + }, + { + "id": "ASST.2.2.1_gdn", + "name": "guidance", + "prose": "Ziel ist sicherzustellen, dass keine unautorisierten Assets im Informationsverbund betrieben werden. Hierzu können z.B. aktive Netzscans (z.B. mit Nmap), passive Analysen des Netzwerkverkehrs oder spezielle Werkzeuge zur Erkennung von unbekannten WLAN-Access-Points (z.B. Kismet) genutzt werden. Zur Behandlung können die gefundenen IT-Systeme beispielsweise aus dem Netz entfernt, in eine Quarantäne verschoben oder nach Überprüfung autorisiert werden." + } + ] + } + ] + }, + { + "id": "ASST.2.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Inventar der Anwendungen", + "props": [ + { + "name": "alt-identifier", + "value": "d55d7e49-436e-4783-9ad0-5f92619da743" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Inventories" + } + ], + "parts": [ + { + "id": "ASST.2.3_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Inventar Anwendungen" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "ein Inventar der Anwendungen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "einschließlich Produktname, Versionsstand, Herkunft und Lizenzierung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Informationen und Assets SOLLTE ein Inventar der Anwendungen einschließlich Produktname, Versionsstand, Herkunft und Lizenzierung dokumentieren." + }, + { + "id": "ASST.2.3_gdn", + "name": "guidance", + "prose": "Ein zentrales Inventar der Anwendungen, oft auch als Application Inventory oder Teil des Software Asset Management (SAM) bezeichnet, dient als grundlegende, strukturierte Übersicht aller in der Institution eingesetzten Applikationen. Relevant sind dabei sowohl lokal installierte Anwendungen, als auch solche, die auf Cloud-Servern oder in verteilten Diensten betrieben werden. Hierbei beschreibt die Herkunft nicht nur den Hersteller, sondern auch den Lieferanten oder die Bezugsquelle, um die Vertrauenswürdigkeit bewerten zu können. Die Lizensierung erfasst die rechtliche Grundlage für die Nutzung, einschließlich des Lizenzmodells (z.B. pro Benutzer, pro Gerät, Abonnement), der Anzahl erworbener Lizenzen und deren Gültigkeitsdauer. Häufig sind weitere Angaben sinnvoll, z.B. Beschaffungs- und Installationszeitpunkt, URL, App-Store, Schnittstellen wie z.B. Cloud-APIs oder Datenexporte in andere Anwendungen, auch auf Dateiserver. Ohne eine solche Übersicht könnte die Institution unwissentlich Software mit bekannten, kritischen Schwachstellen einsetzen oder durch den Einsatz nicht lizenzierter Produkte hohe finanzielle und rechtliche Risiken eingehen. Ein gepflegtes Inventar kann hingegen bei neuen Sicherheitswarnungen eine schnelle Auswirkungsanalyse ermöglichen. Zur praktischen Umsetzung kann die Institution eine zentrale Liste, beispielsweise in einer Datenbank oder einem spezialisierten SAM-Tool, aufbauen, die durch verschiedene Quellen gespeist wird. Eine automatisierte Erfassung kann durch technische Werkzeuge erfolgen, wie zum Beispiel durch (1) Netzwerks-Scanner, die installierte Applikationen auf Endgeräten identifizieren, (2) Agenten-basierte Systeme, die kontinuierlich Software-Änderungen melden, oder (3) die Auswertung von Daten aus zentralen Software-Verteilungssystemen. Die Dokumentation kann auch durch eine Liste mit Verweisen umgesetzt werden (z.B. auf die Lizendateien und Schnittstellenkonfiguration)." + } + ], + "controls": [ + { + "id": "ASST.2.3.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Autorisierung von Anwendungen", + "params": [ + { + "id": "asst.2.3.1-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "3d12c2e5-94bd-48d2-bf9c-a5797e4f0378" + } + ], + "label": "eine zuständige Person oder Rolle" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "3d12c2e5-94bd-48d2-bf9c-a5797e4f0378" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "ASST.2.3.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Inventar Anwendungen" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Nutzung von Anwendungen auf diesen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "durch {{eine zuständige Person oder Rolle}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "autorisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Informationen und Assets für IT-Systeme SOLLTE die Nutzung von Anwendungen auf diesen durch {{ insert: param, asst.2.3.1-prm1 }} autorisieren." + }, + { + "id": "ASST.2.3.1_gdn", + "name": "guidance", + "prose": "Der Sinn dieser Regelung liegt in der Minimierung von Risiken, die durch unkontrollierte Nutzung entstehen. Durch nicht autorisierte Anwendungen könnte beispielsweise Schadsoftware in die Systeme der Institution eingeschleust, könnten durch Sicherheitslücken in veralteter Software Angriffsvektoren geöffnet oder könnten durch den Einsatz nicht konformer Tools sensible Informationen unkontrolliert abfließen. Ein strukturierter Autorisierungsprozess kann somit die Integrität der IT-Systeme wahren und sicherstellen, dass nur geprüfte, für den Geschäftszweck erforderliche und aus rechtlicher Sicht unbedenkliche Anwendungen zum Einsatz kommen, was die gesamte Angriffsfläche der Institution signifikant reduziert. Relevant sind dabei sowohl lokal installierte Anwendungen, als auch solche, die auf Cloud-Servern oder in verteilten Diensten betrieben werden. Je nach Geschäftsprozessen oder Risikoprofil kann die Autorisierung einzeln für jedes System und jede Anwendung, oder für bestimmte Kategorien von Systemen oder Anwendungen vorgenommen werden (z.B. \"Alle Office-Produkte eines bestimmten Herstellers auf Notebooks mit einem bestimmten Betriebssystem). Hierbei ist es sinnvoll, Standard-Anwendungen zu bestimmen, die für alle Nutzenden freigegeben sind und die Verwendung darüber hinausgehender Anwendungen pro Nutzer oder Organisationseinheit zu autorisieren." + } + ] + }, + { + "id": "ASST.2.3.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Software Bill of Materials (SBOM)", + "props": [ + { + "name": "alt-identifier", + "value": "ddd9f433-8d27-4ed5-9061-e77fc9564dbc" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + } + ], + "parts": [ + { + "id": "ASST.2.3.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Inventar Anwendungen" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Software Bill of Materials (SBOM)" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Informationen und Assets für Anwendungen SOLLTE die Software Bill of Materials (SBOM) dokumentieren." + }, + { + "id": "ASST.2.3.2_gdn", + "name": "guidance", + "prose": "Eine Software Bill of Materials (SBOM) ist in diesem Zusammenhang eine strukturierte Liste aller Komponenten, Bibliotheken und Abhängigkeiten, die in einer Anwendung enthalten sind, einschließlich ihrer Versionen und Herkunft. Sie kann dabei sowohl Open-Source- als auch proprietäre Bestandteile erfassen und in maschinenlesbaren Formaten (z. B. SPDX, CycloneDX) vorliegen. Der Zweck dieser Dokumentation liegt darin, Transparenz über die eingesetzten Softwarebestandteile zu schaffen, sodass Abhängigkeiten, potenzielle Schwachstellen oder veraltete Komponenten nachvollziehbar bleiben. Ohne diese Transparenz könnte es bei Sicherheitsvorfällen, Lizenzkonflikten oder fehlender Wartbarkeit zu erheblichen Problemen kommen, während eine gepflegte SBOM die schnelle Identifikation von Risiken, die Minimierung von Vendor Lock-in und die Nachvollziehbarkeit der Software-Lieferkette unterstützen kann. Hierzu kann die BSI TR-03183-2 verwendet werden." + } + ], + "controls": [ + { + "id": "ASST.2.3.2.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Software Discovery", + "params": [ + { + "id": "asst.2.3.2.1-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "be8d7b56-9709-4d1b-aeaa-cb5fa1b0cca1" + } + ], + "label": "regelmäßig oder bei Änderungen" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "be8d7b56-9709-4d1b-aeaa-cb5fa1b0cca1" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "parts": [ + { + "id": "ASST.2.3.2.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Aktualität des Inventars der Anwendungen durch ein automatisiertes Verfahren" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{regelmäßig oder bei Änderungen}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überprüfen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Informationen und Assets KANN die Aktualität des Inventars der Anwendungen durch ein automatisiertes Verfahren {{ insert: param, asst.2.3.2.1-prm1 }} überprüfen." + }, + { + "id": "ASST.2.3.2.1_gdn", + "name": "guidance", + "prose": "Die automatische Aktualisierung des Anwendungsinventars (etwa bei Installationen, Konfigurationsänderungen und Deinstallationen) dient in erster Linie der vollständigen Transparenz über die IT-Landschaft. Ein aktuelles Anwendungsinventar kann als Grundlage für Compliance-Nachweise, Lizenzmanagement und Schwachstellenanalysen dienen. Die Automatisierung dieses Prozesses verringert dabei den manuellen Verwaltungsaufwand und erhöht die Datenqualität, da menschliche Fehler oder Versäumnisse bei der Dokumentation vermieden werden können. Konkrete Anwendungsfälle können die automatische Erfassung einer neu installierten ERP-Software im Inventar, die Dokumentation einer Konfigurationsänderung an einer Firewall-Anwendung oder die Entfernung einer nicht mehr genutzten Datenbanksoftware aus dem Inventar sein. Auch Updates von Anwendungen, Änderungen an Zugriffsberechtigungen oder Konfigurationsanpassungen aufgrund neuer Sicherheitsanforderungen können als relevante Ereignisse für eine Inventaraktualisierung betrachtet werden. Für die Umsetzung können Software Asset Management (SAM) Tools eingesetzt werden, die über Agenten oder regelmäßige Netzwerk-Scans Änderungen erkennen. Eine Alternative kann die Integration von Deployment- und Konfigurationsmanagement-Systemen mit der CMDB (Configuration Management Database) sein, wodurch jede Änderung automatisch im zentralen Inventar gespiegelt wird. Die Implementierung von Event-Triggern in der IT-Infrastruktur kann ebenfalls dazu beitragen, dass bei definierten Ereignissen eine sofortige Inventaraktualisierung ausgelöst wird. Einen hohen Mehrwert für alle Sicherheitsbereiche kann es haben, Inventardaten aus verschiedenen Quellen automatisiert miteinander abzugleichen, z.B. aus Verzeichnisdiensten, AMDB, EDR und CMDB. Eine regelmäßige Validierung der Prozesse durch Stichprobenkontrollen kann dabei helfen, die Vollständigkeit und Genauigkeit der automatisierten Inventarisierung zu gewährleisten." + } + ] + } + ] + } + ] + }, + { + "id": "ASST.2.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Klassifizierung", + "props": [ + { + "name": "alt-identifier", + "value": "41530972-ff04-4df0-a2b5-8bab6859becb" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "ASST.2.4_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Daten" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Inventar Informationen" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "diese einer Schutzbedarfsklasse" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "zuweisen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Informationen und Assets für Daten SOLLTE diese einer Schutzbedarfsklasse zuweisen." + }, + { + "id": "ASST.2.4_gdn", + "name": "guidance", + "prose": "Klassifizierung dient dazu, Daten entsprechend ihrer Schutzbedürftigkeit systematisch zu ordnen, um angemessene Schutzmaßnahmen zielgerichtet umzusetzen und Risiken effektiv zu reduzieren. Unter Klassifizierung versteht man dabei die Einteilung von Daten in Kategorien, etwa \"öffentlich\", \"intern\", \"vertraulich\" oder \"Verschlussache - Nur für den Dienstgebrauch\". Beispielsweise ist eine öffentlich zugängliche Marketingbroschüre weniger sensibel als personenbezogene Kundendaten, Betriebs- und Geschäftsgeheimnisse oder staatliche Verschlusssachen. Anzahl der Klassen und Umfang der Beschreibungen können sich an den ermittelten Risiken und der Menge der verarbeiteten Informationen orientieren. Die Kriterien zur Klassifizierung können sich daran orientieren, mit welchen Schäden eine Kompromittierung der Vertraulichkeit, Integrität oder Verfügbarkeit verbunden wäre, z.B. geschätzte Umsatzverluste, Gefahr für die Allgemeinheit, Schädigung der Rechte und Freiheiten betroffener Personen. Für Assets ist es sinnvoll, diese im Einklang mit der Klassifikation der Informationen ebenfalls in Klassen zu unterteilen, für deren Verarbeitung sie gebraucht werden. Je nach Aufgaben der Institution und Arten von verarbeiteten Informationen bietet es sich an, ein bestehendes Klassifikationsschema 1:1 zu verwenden - etwa das Schema der Verschlusssachenanweisung (VSA) - oder ein eigenes Schema zu erstellen, in dem mehrere bestehende Schemata auf die eigenentwickelten Klassen abgebildet werden." + } + ] + } + ] + }, + { + "id": "ASST.3", + "title": "Regelungen zum Gebrauch", + "props": [ + { + "name": "label", + "value": "3" + }, + { + "name": "alt-identifier", + "value": "ded840ba-8462-49cb-bde7-dfb2632d7871" + } + ], + "controls": [ + { + "id": "ASST.3.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Nutzungsvereinbarungen", + "props": [ + { + "name": "alt-identifier", + "value": "ec6bc7aa-7f8c-4cb1-a564-73e39401051f" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + } + ], + "links": [ + { + "href": "#SENS.1.1", + "rel": "related" + } + ], + "parts": [ + { + "id": "ASST.3.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Nutzende" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Arbeitsanweisung" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "diese zu den Regelungen der Nutzung von Informationen und anderen Assets" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "anweisen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Informationen und Assets für Nutzende SOLLTE diese zu den Regelungen der Nutzung von Informationen und anderen Assets anweisen." + }, + { + "id": "ASST.3.1_gdn", + "name": "guidance", + "prose": "Wenn Nutzende nicht angewiesen werden bestimmte Nutzungsregelungen einzuhalten, dann könnte es zu ungewollten Verstößen gegen die Sicherheitsverfahren kommen. Auch Maßregelungen bei Verstößen werden erschwert, wenn unklar ist, ob Verstöße für die Nutzenden vorher als solche erkennbar waren. Dies gilt insbesondere für externe Personen, die nur durch die Nutzung von Assets mit den Regelungen in Berührung kommen könnten, z.B. Kunden oder Drittunternehmen. Die konkreten Regelungen ergeben sich aus den Maßnahmen zur Umsetzung der anderen Anforderungen dieser Praktik und den Anforderungen zur Sensibilisierung." + } + ], + "controls": [ + { + "id": "ASST.3.1.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Weitergabe nur bei Erforderlichkeit", + "props": [ + { + "name": "alt-identifier", + "value": "32afe7a4-d3d4-43d2-a37b-8ecd45ea69f5" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + } + ], + "links": [ + { + "href": "#SENS.5.2", + "rel": "related" + } + ], + "parts": [ + { + "id": "ASST.3.1.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Nutzende" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Arbeitsanweisung" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "zur Weitergabe von Informationen nur bei Erforderlichkeit" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "anweisen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Informationen und Assets für Nutzende SOLLTE zur Weitergabe von Informationen nur bei Erforderlichkeit anweisen." + }, + { + "id": "ASST.3.1.1_gdn", + "name": "guidance", + "prose": "Das Need-to-Know-Prinzip ist ein Sicherheitskonzept, das den Zugriff auf Informationen auf das absolut notwendige Maß beschränkt. Es besagt, dass Personen nur dann Zugang zu bestimmten Daten enthalten, wenn diese Informationen für die Erfüllung ihrer konkreten Aufgaben erforderlich sind. Ziel ist es, das Risiko von Datenmissbrauch, -verlust oder unbefugtem Zugriff zu minimieren." + } + ] + } + ] + }, + { + "id": "ASST.3.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Entfernung nicht erforderlicher Rest- oder Zusatzdaten", + "props": [ + { + "name": "alt-identifier", + "value": "5316fe85-7996-41dc-a475-4d5cfeda250c" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + } + ], + "parts": [ + { + "id": "ASST.3.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Daten" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Arbeitsanweisung" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Entfernung nicht erforderlicher Rest- oder Zusatzdaten" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Informationen und Assets für Daten SOLLTE die Entfernung nicht erforderlicher Rest- oder Zusatzdaten verankern." + }, + { + "id": "ASST.3.2_gdn", + "name": "guidance", + "prose": "Hierunter können z.B. Metainformationen wie Bearbeitername oder Geostandort fallen. Handelt es sich um strukturierte Daten, so ist eine automatisierte Entfernung leicht möglich. Für unstrukturierte Daten hat sich eine Kombination aus automatischer Filterung / Regex und manueller Überprüfung bewährt." + } + ] + }, + { + "id": "ASST.3.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Kennzeichnung", + "props": [ + { + "name": "alt-identifier", + "value": "627d3364-806b-4ea0-8ef0-43dfefd0b027" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Archivierung" + } + ], + "parts": [ + { + "id": "ASST.3.3_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Arbeitsanweisung" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Kennzeichnung von Informationen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Informationen und Assets SOLLTE die Kennzeichnung von Informationen verankern." + }, + { + "id": "ASST.3.3_gdn", + "name": "guidance", + "prose": "Kennzeichnungen helfen dabei sicherzustellen, dass vertrauliche, personenbezogene oder besonders kritische Daten im gesamten Lebenszyklus angemessen behandelt werden – von der Erstellung über die Verarbeitung bis hin zur Archivierung oder Löschung. Hierzu gehört sowohl die Kennzeichnung physikalischer Systeme oder Speichermedien als auch die virtuelle Kennzeichnung, z.B. durch Metadaten oder die Kopfzeile eines Dokumentes. Eine klare Kennzeichnung kann dazu beitragen, unbeabsichtigte Offenlegung, unsachgemäße Weitergabe oder unsichere Verarbeitung zu vermeiden, die Sensibilisierung für den Umgang mit verschiedenen Informationsarten fördern und rechtlichen oder regulatorischen Anforderungen (z. B. DSGVO, Geheimschutz) Rechnung tragen. Beispiele sind Informationen, die einer bestimmten Schutzbedarfsklasse (z. B. „vertraulich“, „intern“) zugeordnet sind. Auch personenbezogene Daten, Forschungsergebnisse, Finanzinformationen, Sicherheitskonzepte oder technische Spezifikationen können einer Kennzeichnungspflicht unterliegen. Die Art der Kennzeichnung kann visuell erfolgen, etwa durch Wasserzeichen, farbige Markierungen, Aufkleber, sowie Kopf-/Fußzeilen oder Metadaten in Dateien. Wichtig ist, dass die Kennzeichnung verständlich, konsistent und leicht erkennbar ist, um ihre Schutzwirkung zu entfalten. Zur Umsetzung ist es nicht erforderlich, dass alle Daten, Systeme oder Speichermedien gekennzeichnet sind sondern nur solche, deren Risikoprofil eine solche Kennzeichnung erforderlich macht - hier ist insbesondere die Vertraulichkeit oder Verfügbarkeit relevant. Dokumentvorlagen, automatisierte Klassifizierungsfunktionen in gängigen Office-Programmen oder Richtlinien in einem DMS können helfen die Einhaltung zu gewährleisten." + } + ] + }, + { + "id": "ASST.3.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Kennzeichnung ohne vertrauliche Daten", + "props": [ + { + "name": "alt-identifier", + "value": "e6bdfec9-97ef-405a-a90f-e5b63f900e21" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "ASST.3.4_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Arbeitsanweisung" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Kennzeichnung ohne vertrauliche Daten" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Informationen und Assets für IT-Systeme SOLLTE Kennzeichnung ohne vertrauliche Daten verankern." + }, + { + "id": "ASST.3.4_gdn", + "name": "guidance", + "prose": "Enthalten Kennzeichnungen vertrauliche Daten wie den Namen des zugeordneten Mitarbeiters, des Standortes, der Netzstruktur oder der Abteilung, so könnten diese Angaben von Angreifern ausgelesen werden, z.B. über das Netz, per Bluetooth oder durch physisches Ablesen. Die so abgeflossenen Daten könnten Angreifer zur weiteren Ausforschung der Institution oder des Zugangs zu Daten missbrauchen." + } + ] + }, + { + "id": "ASST.3.5", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Tainting", + "props": [ + { + "name": "alt-identifier", + "value": "11c6919e-1dac-4816-9b42-88218c04c62b" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "parts": [ + { + "id": "ASST.3.5_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Daten" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Arbeitsanweisung" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine Markierung durch eingebettete Daten oder Funktionen zur Wiedererkennung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "zuweisen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Informationen und Assets für Daten KANN eine Markierung durch eingebettete Daten oder Funktionen zur Wiedererkennung zuweisen." + }, + { + "id": "ASST.3.5_gdn", + "name": "guidance", + "prose": "Zielt darauf ab, die Nachverfolgbarkeit und Kontextbindung von Daten zu ermöglichen, insbesondere in komplexen IT-Systemen, in denen Daten über viele Verarbeitungsschritte hinweg genutzt, kombiniert oder verteilt werden. Durch die Einbettung spezifischer, erkenntlicher Merkmale (z.B. Metadaten, Marker oder Funktionsventhalten) kann ein Datensatz identifizierbar gemacht werden, ohne dass seine Funktion oder Nutzbarkeit wesentlich eingeschränkt wird. Dies kann bei der Erkennung unerlaubter Datenweitergaben, der Nachverfolgung von Datenflüssen oder bei Sicherheitsanalysen hilfreich sein, insbesondere wenn potenziell sensible oder schützenswerte Daten im Spiel sind. Für welche Daten Tainting gezielt eingesetzt wird kann sich nach deren Klassifizierung oder einer spezifischen Risikoanalyse richten. Beispiele für Tainting-Mechanismen können sein: das Einfügen eines unsichtbaren Wasserzeichens in ein Dokument, das Anhängen kryptografisch prüfbarer Metadaten an Datensätze, Dummy-Datensätze oder das Verwenden von Datencontainern, die sich beim Zugriff oder bei der Weitergabe protokollierend venthalten. Auch das Markieren von Datenbankeinträgen mit zusätzlichen Attributen, die Rückschlüsse auf Herkunft, Vertrauensstufe oder Kontext erlauben, kann eine Form des Taintings darstellen. Ebenso kann bei Programmcode eine Markierung durch sogenannte Taint-Tracking-Systeme erfolgen, die überwachen, welche Eingaben in sicherheitskritische Operationen einfließen. Für die Umsetzung kann der Einsatz strukturierter Datenformate (wie XML oder JSON mit Markierungsfeldern), der Aufbau kontrollierter Datenflüsse mit Protokollierung oder das Nutzen von Middleware-Komponenten mit Tainting-Funktionalität in Betracht gezogen werden. Wichtig ist dabei, dass die Tainting-Informationen robust, interpretierbar und möglichst schwer entfernbar gestaltet werden, um ihre Wirksamkeit zu sichern. Die Wahl geeigneter Methoden hängt stark vom Anwendungskontext, den Schutzbedarfen und den bestehenden Systemarchitekturen ab." + } + ] + }, + { + "id": "ASST.3.6", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Verifikation", + "props": [ + { + "name": "alt-identifier", + "value": "fdf57ca0-77d0-4725-9709-19c0f1082a31" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "parts": [ + { + "id": "ASST.3.6_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Informationen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Arbeitsanweisung" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Korrektheit" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "anhand anderer Informationsquellen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "testen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Informationen und Assets für Informationen KANN die Korrektheit anhand anderer Informationsquellen testen." + }, + { + "id": "ASST.3.6_gdn", + "name": "guidance", + "prose": "Wenn die Korrektheit bestimmter Informationen von hohen Bedeutung ist, hilft eine Verifikation aus zweiter Quelle dabei, fundierte und belastbare Entscheidungen in sicherheitsrelevanten Situationen treffen zu können. Durch Verifikation wird das Risiko verringert, dass Fehlinformationen in Geschäftsprozessen oder dem Sicherheitsmanagement weiterverarbeitet werden und sich Fehler so fortsetzen oder Vorfälle übersehen werden. Sie kann insbesondere dazu beitragen, Fehlalarme zu erkennen, Täuschungsversuche (z.B. durch gefälschte Logdaten) zu identifizieren oder die Wirksamkeit von Gegenmaßnahmen zu bewerten. Die Anforderung stärkt somit die Integrität und Qualität der sicherheitsbezogenen Lagebewertung. Beispiele für Ereignisse können sicherheitsrelevante Systemmeldungen, Alarme aus Intrusion Detection Systemen (IDS), Hinweise auf Datenabflüsse oder ungewöhnliches Nutzerventhalten sein. Informationsquellen können externe Dienstleister, Zeugen, Sicherungskopien oder Sensoren in der physischen Sicherheit sein. Die Verifikation kann sich in solchen Fällen z.B. auf die Gegenprüfung eines IDS-Alarms durch Logdaten anderer Systeme oder durch Replizierbarkeit des Ereignisses in einer Testumgebung beziehen. In der Praxis kann eine Verifikation unter anderem durch Korrelation mehrerer unabhängiger Datenquellen erfolgen. Auch das Einführen von Plausibilitätsprüfungen, standardisierten Analyseverfahren oder temporären Reproduktionsversuchen kann hilfreich sein. Eine strukturierte Dokumentation der Informationsquellen und ihrer typischen Aussagekraft kann ebenfalls zur Umsetzung beitragen." + } + ] + }, + { + "id": "ASST.3.7", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Pseudonymisierung", + "props": [ + { + "name": "alt-identifier", + "value": "6c943ac9-6cd1-4fd2-98b0-6bef3f492022" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "parts": [ + { + "id": "ASST.3.7_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Informationen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Arbeitsanweisung" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Pseudonymisierung" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "vor der Weitergabe" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Informationen und Assets für Informationen KANN die Pseudonymisierung vor der Weitergabe verankern." + }, + { + "id": "ASST.3.7_gdn", + "name": "guidance", + "prose": "Bei der Pseudonymisierung werden Informationen so verändert, dass sie für den Empfänger nicht mehr dem ursprünglichen Informationswert oder Datensatz zugeordnet werden können, ohne zusätzliche Informationen hinzuzuziehen. Die Weitergabe meint hier jegliche Form des Teilens von Informationen über die Grenzen des Informationsverbundes hinaus – etwa an externe Dienstleister, Behörden oder Partnerinstitutionen – unabhängig davon, ob dies elektronisch, schriftlich oder mündlich geschieht. Anwendungsbeispiele sind personenbezogene Daten oder institutionsinterne IP-Adressbereiche, die zu Diagnosezwecken herausgegeben oder zum Zugriff auf Cloud-Dienste von der Institution verwendet werden. Problematisch ist hierbei oft die funktionsenthaltende Pseudonymisierung, d.h. die Pseudonymisierung derart, dass es bei der beabsichtigten Verwendung zu keinen Problemen durch die Pseudonymisierung kommt. Typische Umsetzungsmaßnahmen können beinhalten: (1) den Einsatz technischer Pseudonymisierungsverfahren wie Hashing oder Tokenisierung, (2) die getrennte, zugriffsbeschränkte Speicherung von Zuordnungstabellen („mapping tables“) in gesicherten Datenräumen oder Datenbanken, und (3) den Einsatz kontrollierter Schlüsselverwaltung, die nur autorisierten Personen eine Re-Identifizierung erlaubt. Auch kann eine Pseudonymisierung in Prozessen oder Schnittstellen fest verankert werden, etwa durch automatisierte Filtermechanismen bei Exporten oder vor externen Übertragungen." + } + ] + }, + { + "id": "ASST.3.8", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Anonymisierung", + "props": [ + { + "name": "alt-identifier", + "value": "09e9470c-c4d4-466a-9629-5efa6ddb4cd8" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "parts": [ + { + "id": "ASST.3.8_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Informationen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Arbeitsanweisung" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Anonymisierung" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "vor der Weitergabe" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Informationen und Assets für Informationen KANN die Anonymisierung vor der Weitergabe verankern." + }, + { + "id": "ASST.3.8_gdn", + "name": "guidance", + "prose": "Bei der Anonymisierung werden Informationen so verändert, dass sie für den Empfänger nicht mehr dem ursprünglichen Informationswert oder Datensatz zugeordnet werden können. Dabei werden gezielt rückverfolgbare Merkmale entfernt oder verfremdet, sodass eine Zuordnung zu einem bestimmten Informationswert der Institution (z.B. einer Person, Systemkonfiguration oder Zugangskonto) nicht mehr möglich ist. Davon abzugrenzen ist die Pseudonymisierung („pseudonymization“), bei der eine Identifizierbarkeit theoretisch weiterhin besteht, etwa durch separate Zuordnungstabellen oder Schlüssel. Die Weitergabe meint hier jegliche Form des Teilens von Informationen über die Grenzen des Informationsverbundes hinaus – etwa an externe Dienstleister, Behörden oder Partnerinstitutionen – unabhängig davon, ob dies elektronisch, schriftlich oder mündlich geschieht. Beispiele sind die Bildung summarischer Statistiken aus personenbezogenen Daten oder die Ersetzung eines Gerätenamens durch eine zufällige Zeichenkette vor der Herausgabe zu Diagnosezwecken." + } + ] + }, + { + "id": "ASST.3.9", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Aktualisierung", + "props": [ + { + "name": "alt-identifier", + "value": "9d95707e-8cb2-4442-a202-14d2442920ff" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "parts": [ + { + "id": "ASST.3.9_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Daten" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Arbeitsanweisung" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "deren Aktualisierung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Informationen und Assets für Daten KANN deren Aktualisierung verankern." + }, + { + "id": "ASST.3.9_gdn", + "name": "guidance", + "prose": "Wenn gespeicherte Daten nicht regelmäßig mit Veränderungen abgeglichen werden, nimmt das Risiko von Fehlern in den Daten zu. Ein Abgleich mit Quellen kann durch automatische Vergleichsprozesse (z.B. anhand von Checksummen) vorgenommen werden oder durch eine Versionsverwaltung erleichtert werden." + } + ] + }, + { + "id": "ASST.3.10", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Autorisierung von Datenlokationen", + "params": [ + { + "id": "asst.3.10-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "52eee4a3-f5cf-444d-ad0c-9c83c693481b" + } + ], + "label": "eine zuständige Person oder Rolle" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "52eee4a3-f5cf-444d-ad0c-9c83c693481b" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten, Shadow IT" + } + ], + "links": [ + { + "href": "#BES.2.2", + "rel": "related" + } + ], + "parts": [ + { + "id": "ASST.3.10_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Daten" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Arbeitsanweisung" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Datenlokationen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "durch {{eine zuständige Person oder Rolle}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "autorisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Informationen und Assets für Daten SOLLTE Datenlokationen durch {{ insert: param, asst.3.10-prm1 }} autorisieren." + }, + { + "id": "ASST.3.10_gdn", + "name": "guidance", + "prose": "Autorisierte Datenlokationen sind virtuelle oder physische Orte, an denen die Speicherung oder anderweitige Verarbeitung der jeweiligen Datenkategorie durch die Institution erlaubt wird. Physische Orten sind z.B. Serverstandorte in der EU, aber auch die organisatorische Regelung zu Standorten wie dem Mobile Arbeitsplatz oder Auslandsreisen außerhalb der EU gemeint. Regelungen könnten hier z.B. sein: \"Verarbeitung als vertraulich markierter Daten nur innerhalb von Institutsgebäuden\", \"Personenbezogene Daten nur innerhalb der EU\". Je nach Datenart bestehen auch häufig Compliance-Verpflichtungen (z.B. DSGVO, Staatenliste im Sinne von § 13 Abs. 1 Nr. 17 SÜG), durch die erlaubte Datenlokationen beschränkt sind. Virtuelle Datenlokationen (z.B. VoIP-Netz, dom0, Hauptgebäude) sind Verarbeitungssphären." + } + ] + }, + { + "id": "ASST.3.11", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Autorisierung von Systemen", + "params": [ + { + "id": "asst.3.11-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "65e6f130-1000-47a4-a551-386d23f6f188" + } + ], + "label": "eine zuständige Person oder Rolle" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "65e6f130-1000-47a4-a551-386d23f6f188" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Data Leak, Shadow IT" + } + ], + "links": [ + { + "href": "#SENS.2.4", + "rel": "related" + } + ], + "parts": [ + { + "id": "ASST.3.11_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Daten" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Arbeitsanweisung" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "für die Informationsverarbeitung verwendete Systeme" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "durch {{eine zuständige Person oder Rolle}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "autorisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Informationen und Assets für Daten SOLLTE für die Informationsverarbeitung verwendete Systeme durch {{ insert: param, asst.3.11-prm1 }} autorisieren." + }, + { + "id": "ASST.3.11_gdn", + "name": "guidance", + "prose": "Autorisierte Systeme können einzeln oder als Kategorien von IT-Systemen und Peripherie benannt werden, auf denen bestimmte Daten verarbeitet werden dürfen. Hierzu gehört auch, welche Peripheriegeräte angeschlossen werden dürfen, z.B. z.B. keine Speicherung sensibler Erreichbarkeiten auf einem einfachen Mobiltelefon oder Verarbeitung hochvertraulicher Daten nur auf stationären Endgeräten. Relevant ist dabei auch, ob Bring Your Own Device (BYOD) untersagt oder unter bestimmten Voraussetzungen gestattet ist. Kann entweder einmalig für alle Daten, oder getrennt nach Datenkategorien (z.B. keine personenbezogenen Daten auf Ausleihgeräten) umgesetzt werden." + } + ], + "controls": [ + { + "id": "ASST.3.11.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Autorisierung von Peripheriegeräten", + "props": [ + { + "name": "alt-identifier", + "value": "75a9c947-c417-4dc7-a942-c27340f20ade" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Data Leak, Shadow IT" + } + ], + "links": [ + { + "href": "#KONF.3.7", + "rel": "related" + } + ], + "parts": [ + { + "id": "ASST.3.11.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Daten" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Arbeitsanweisung" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "auch Peripheriegeräte" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "autorisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Informationen und Assets für Daten SOLLTE auch Peripheriegeräte autorisieren." + }, + { + "id": "ASST.3.11.1_gdn", + "name": "guidance", + "prose": "Peripheriegeräte sind externe Hardware-Komponenten sowie virtuelle Geräte, die an IT-Systeme angeschlossen oder eingebunden werden, darunter USB-Sticks, externe Festplatten, Drucker, Kameras, Smartphones, Tablets, virtuelle Laufwerke, softwaredefinierte Netzwerkadapter und emulierte Hardware. Die Autorisierung solcher Geräte schützt vor Sicherheitsrisiken, da unkontrollierte Peripherie Malware einschleusen, Daten exfiltrieren oder als Einfallstor für Angriffe dienen kann; so kann ein privater USB-Datenträger Schadsoftware enthalten, die sich beim Anschluss ausbreitet, oder ein nicht autorisierter Drucker vertrauliche Dokumente in ungeschützten Bereichen ausgeben. Die Umsetzung erfolgt zweckmäßig über eine zentrale Geräteregistrierung, in der alle zulässigen Geräte mit eindeutigen Kennungen erfasst werden; abhängig vom Risikoprofil kann die Autorisierung gerätespezifisch oder für ganze Gerätegruppen erfolgen (etwa für alle beschafften Tastaturen und Mäuse). Administrative Prozesse umfassen ein Antragsverfahren für neue Peripheriegeräte mit Sicherheitsbewertung, die regelmäßige Überprüfung und Aktualisierung der Gerätelisten sowie die Definition von Gerätekategorien mit abgestuften Autorisierungsebenen, beispielsweise vollständig gesperrte USB-Ports für externe Nutzer, eingeschränkte Freigaben für Standardarbeitsplätze und erweiterte Berechtigungen für Administratoren. Technisch wird dies durch Device-Control-Lösungen unterstützt, die nur autorisierte Geräte anhand von Hardware-IDs, Herstellerzertifikaten oder digitalen Signaturen erkennen und freischalten; ergänzend erhöhen Logging-Mechanismen zur Nachverfolgung sämtlicher Peripheriegeräte-Aktivitäten die Transparenz und Auditierbarkeit der Prozesse. Die Autorisierung selbst erfolgt durch die Personen oder Rollen, die in der Organisation für die Freigabe der betreffenden Systeme verantwortlich sind." + } + ] + } + ] + }, + { + "id": "ASST.3.12", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Autorisierung von Personen oder Institutionen", + "props": [ + { + "name": "alt-identifier", + "value": "523f8482-4664-41ac-b131-6525c5cfa255" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "links": [ + { + "href": "#BER.1.1", + "rel": "related" + } + ], + "parts": [ + { + "id": "ASST.3.12_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Daten" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Arbeitsanweisung" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "den Zugriff von Personen oder Institutionen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "im Einklang mit den zugehörigen Anforderungen zum Identitäts- und Berechtigungsmanagement" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "autorisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Informationen und Assets für Daten SOLLTE den Zugriff von Personen oder Institutionen im Einklang mit den zugehörigen Anforderungen zum Identitäts- und Berechtigungsmanagement autorisieren." + }, + { + "id": "ASST.3.12_gdn", + "name": "guidance", + "prose": "Ziel dieser Regelung ist es, sicherzustellen, dass nur berechtigte Stellen auf sensible Werte zugreifen, wodurch unautorisierte Einsichtnahme, Manipulation oder Missbrauch verhindert werden kann. Ohne eine klare Kopplung an Identitäts- und Berechtigungsmanagement könnte es zu unkontrollierten Datenabflüssen, Einsicht durch Dritte oder langfristigen Abhängigkeiten von bestimmten Dienstleistern kommen, die den Zugriff einseitig steuern könnten. Eine korrekte Umsetzung kann hingegen Transparenz schaffen und den Zugriff auf Informationen nachvollziehbar, reversibel und sicher gestalten. Umfasst sowohl die Autorisierung eigenen Personals, als auch die Autorisierung externer Dienstleister oder Partner. Die Formulierung \"im Einklang mit den zugehörigen Anforderungen zum Identitäts- und Berechtigungsmanagement\" bedeutet, dass die Autorisierung so erfolgt, wie in der Praktik Berechtigung (BER) festgelegt." + } + ] + }, + { + "id": "ASST.3.13", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Lagerung physischer Assets", + "props": [ + { + "name": "alt-identifier", + "value": "b820e891-c4b8-4673-abec-d3c6d51522d2" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "ASST.3.13_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Administrierende" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "zur Lagerung physischer Assets" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "in einem dazu vorgesehenen Lager" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "anweisen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Informationen und Assets für Administrierende SOLLTE zur Lagerung physischer Assets in einem dazu vorgesehenen Lager anweisen." + }, + { + "id": "ASST.3.13_gdn", + "name": "guidance", + "prose": "Lagerung meint hier die Aufbewahrung nicht an Nutzende ausgegebener physischer Assets. Die Lagerung kann in verschlossenen Lagerräumen, Schränken oder bei Dienstleistern erfolgen." + } + ] + }, + { + "id": "ASST.3.14", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Reserve physischer Assets", + "props": [ + { + "name": "alt-identifier", + "value": "c4fd01b1-f0ff-4e91-bef8-dbe0eb1f3d10" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + } + ], + "parts": [ + { + "id": "ASST.3.14_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine Reserve physischer Assets" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Informationen und Assets SOLLTE eine Reserve physischer Assets verankern." + }, + { + "id": "ASST.3.14_gdn", + "name": "guidance", + "prose": "Die Beschaffung und Installation von Systemen und deren Peripherie nimmt gewöhnlich eine längere Zeit in Anspruch, weshalb es sinnvoll ist, Ersatzgeräte für Ausfälle bereitzuhalten. Die Menge der Ersatzgeräte reicht aus, wenn sie den voraussichtlichen Bedarf deckt, der bis zur Lieferung und Installation der nächsten Beschaffung vergeht. Der voraussichtliche Bedarf kann aus dem bisherigen Bedarf unter Anpassung an Veränderungen (z.B. Wachstum der Nutzerzahlen) berechnet werden. Typische Assets wären hier z.B. IT-Clients (Desktop PCs/Laptops), Smartphones oder andere häufig genutzte Endgeräte." + } + ] + }, + { + "id": "ASST.3.15", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Ausleihe physischer Assets", + "props": [ + { + "name": "alt-identifier", + "value": "04f05ed2-ec82-4abd-80b3-1669ea62976a" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "parts": [ + { + "id": "ASST.3.15_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "einen ausreichenden Ausleihbestand" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Informationen und Assets KANN einen ausreichenden Ausleihbestand verankern." + }, + { + "id": "ASST.3.15_gdn", + "name": "guidance", + "prose": "Wenn bei bestimmten Ereignissen wie Auslandsreisen, Veranstaltungen oder Sicherheitsvorfällen die regulären Endgeräte nicht verwendet werden können (z.B. aufgrund der Regelungen zu Datenlokationen oder der Vorfallsbehandlung), dann ist es sinnvoll Endgeräte bereitzuhalten, die nur mit den für die Ereignisse notwendigen Anwendungen und Daten ausgestattet sind. Die Menge der Ausleihgeräte ist ausreichend, wenn sie den Bedarf deckt. Der Bedarf kann anhand einer Prognose ermittelt werden, die sich wiederum auf bekannte Statistiken (z.B. Anzahl der Nutzenden, Anzahl der Teilnehmer von Schulungsveranstaltungen, Anzahl Auslandsreisen pro Jahr) stützen kann." + } + ] + } + ] + }, + { + "id": "ASST.4", + "title": "Regelungen zum Transfer", + "props": [ + { + "name": "label", + "value": "4" + }, + { + "name": "alt-identifier", + "value": "bcaa84e2-2179-4e06-bad4-1f9cef1e3b80" + } + ], + "controls": [ + { + "id": "ASST.4.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Autorisierung von Schnittstellen", + "params": [ + { + "id": "asst.4.1-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "ddfc1b03-9014-4317-a7bb-09980b234457" + } + ], + "label": "eine zuständige Person oder Rolle" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "ddfc1b03-9014-4317-a7bb-09980b234457" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "parts": [ + { + "id": "ASST.4.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Daten" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Arbeitsanweisung" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Schnittstellen, über die Informationen ausgetauscht werden," + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "durch {{eine zuständige Person oder Rolle}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "autorisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Informationen und Assets für Daten KANN Schnittstellen, über die Informationen ausgetauscht werden, durch {{ insert: param, asst.4.1-prm1 }} autorisieren." + }, + { + "id": "ASST.4.1_gdn", + "name": "guidance", + "prose": "Schnittstellen können hier sowohl physikalisch (z.B. Briefversand, regelmäßige Meetings an einem geschützten Ort) als auch virtuell (API, verschlüsselter Cloudspeicher) sein." + } + ] + }, + { + "id": "ASST.4.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Vertraulichkeit und Integrität beim Transport", + "props": [ + { + "name": "alt-identifier", + "value": "5ac7299f-708d-4a07-886f-1dd1228526c7" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "ASST.4.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Daten" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Arbeitsanweisung" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Vertraulichkeit und Integrität beim Transport" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Informationen und Assets für Daten SOLLTE Vertraulichkeit und Integrität beim Transport verankern." + }, + { + "id": "ASST.4.2_gdn", + "name": "guidance", + "prose": "Transport meint hier sowohl die Datenübertragung per Netz als auch auf physischen Datenträgern (Sneakernet) oder den physischen Transport ganzer Systeme. Zur Umsetzung kann z.B. in Netzen die Transportverschlüsselung und -signierung von E-Mails, Ende-zu-Ende-Verschlüsselung mit PGP genutzt werden. Beim physischen Transport können die vorherige Verschlüsselung von Speichermedien, die Verwahrung von Assets an der Person, Verwahrungsprotokolle, manipulationssichere Verpackungen, Geolocation Tracking oder vertrauenswürdige Kuriere genutzt werden. Die Auswahl der Maßnahmen richtet sich nach dem Schutzbedarf der ausgetauschten Informationen und der Transportart." + } + ] + }, + { + "id": "ASST.4.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Autorisierung von Veröffentlichungen", + "params": [ + { + "id": "asst.4.3-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "fa86f5b3-1e36-40bd-a61e-c58e7eba11c0" + } + ], + "label": "eine zuständige Person oder Rolle" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "fa86f5b3-1e36-40bd-a61e-c58e7eba11c0" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "ASST.4.3_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Arbeitsanweisung" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Veröffentlichungen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "durch {{eine zuständige Person oder Rolle}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "autorisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Informationen und Assets SOLLTE Veröffentlichungen durch {{ insert: param, asst.4.3-prm1 }} autorisieren." + }, + { + "id": "ASST.4.3_gdn", + "name": "guidance", + "prose": "„Veröffentlichungen“ bezieht sich hier auf jede Form der öffentlichen oder externen Verbreitung von Informationen, sei es durch Pressemitteilungen, Social-Media-Beiträge, wissenschaftliche Publikationen, öffentliche Datensätze oder zur Erfüllung gesetzlicher Informationspflichten. Hierbei besteht das Risiko, dass vertrauliche Informationen unbeabsichtigt veröffentlicht werden. Kriterien zur Veröffentlichung können z.B. das Entfernen von Geschäftsgeheimnissen oder die Freigabe durch bestimmte Stellen innerhalb oder außerhalb der Institution sein. Der Hauptzweck dieser Anforderung ist die Schaffung einer Gatekeeping-Funktion, um den Informationsfluss zu steuern, der die Institution verlässt, und so das Risiko unbefugter oder schädlicher Offenlegungen zu mindern. Ohne diese Kontrolle könnte eine Institution versehentlich sensible Geschäftsdaten, geistiges Eigentum oder vertrauliche Kundeninformationen offenlegen, was zu schwerwiegendem Reputationsschaden, finanziellem Verlust oder rechtlichen Strafen führen könnte. So könnte ein nicht genehmigter Social-Media-Beitrag Details über ein noch nicht veröffentlichtes Produkt preisgeben, ein Forscher könnte versehentlich einen Datensatz mit vertraulichen Informationen veröffentlichen, oder ein Finanzbericht könnte vorzeitig veröffentlicht werden und Marktvolatilität verursachen. Ein sinnvoller Ansatz könnte die Einrichtung eines gestuften Genehmigungsprozesses sein, der auf der Sensibilität der Informationen basiert und sich am Konzept der Vertraulichkeitsanforderungen orientiert. Eine öffentliche Ankündigung von geringer Sensibilität erfordert möglicherweise nur die Genehmigung durch einen Abteilungsleiter, während ein Finanzbericht mit hohem Risiko die Unterschrift mehrerer Führungskräfte, einschließlich des Leiters der Rechtsabteilung und des CISO, erfordert. Um dies zu erleichtern, können Institutionen technische Maßnahmen ergreifen, wie z. B. ein digitales Workflow-System, in dem der Veröffentlichungsstatus eines Dokuments nachverfolgt und verwaltet wird. Dieses System könnte Funktionen umfassen wie: (1) automatisches Routing von Dokumenten an die entsprechenden Genehmiger, (2) eine sichere Überwachung aller Genehmigungen und Ablehnungen, und (3) ein zentrales Repository für alle genehmigten und veröffentlichten Materialien. Aus prozessualer Sicht ist es von Vorteil, eine Veröffentlichungs-Checkliste zu erstellen, die sicherstellt, dass alle relevanten rechtlichen und Compliance-Prüfungen vor der Veröffentlichung durchgeführt werden." + } + ] + }, + { + "id": "ASST.4.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Nachweis des Zugangs", + "props": [ + { + "name": "alt-identifier", + "value": "7d11d172-7a6a-41ce-a4a6-733cbc34b874" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "parts": [ + { + "id": "ASST.4.4_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Daten" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Audit Log" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "einen Nachweis des Zugangs" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "protokollieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Informationen und Assets für Daten KANN einen Nachweis des Zugangs protokollieren." + }, + { + "id": "ASST.4.4_gdn", + "name": "guidance", + "prose": "Ein Zugangsnachweis stellt sicher, dass bestimmte Nachrichten ihren Empfänger tatsächlich erreicht haben und dieser Zugang im Streitfall nachvollziehbar belegt werden kann. Dies ist insbesondere in rechtlich relevanten Kontexten oder bei Revisionen von Bedeutung – etwa wenn Fristen, Genehmigungen oder vertrauliche Informationen übermittelt werden. Kriterien können sich an der Nachvollziehbarkeit der Integrität der Informationen oder ihrer Rechtswirkung orientieren, z.B. wenn sie einen Vertragsabschluss oder die Bekanntgabe eines Verwaltungsaktes, auslösen. Beispiele hierfür sind arbeitsrechtlich relevante Dokumente wie Abmahnungen oder Kündigungen, Sicherheitsanweisungen, Änderungen an internen Richtlinien, Zugangsdaten zu sicherheitsrelevanten Systemen oder auch technische Anordnungen mit verbindlichem Charakter. Die Kriterien können zusammen mit anderen Kriterien dokumentiert sein, beispielsweise im Rahmen eines Informationssicherheitskonzepts oder Kommunikationsleitfadens. Die Umsetzung dieser Anforderung kann durch verschiedene technische und organisatorische Maßnahmen erfolgen. Dazu gehören u. a. die Nutzung von E-Mail-Systemen mit Empfangsbestätigung, das Verwenden von Systemprotokollen oder speziellen Portalen mit Zugriffsnachweis. Wichtig ist dabei, dass der Nachweis manipulationssicher gespeichert und nachvollziehbar archiviert wird – bis zum Ablauf einer definierten Aufbewahrungsfrist, z. B. drei oder fünf Jahre, je nach rechtlicher oder organisatorischer Vorgabe. Sinnvoll ist es hierbei nicht nur die Tatsache des Zugangs zu einem bestimmten Zeitpunkt sondern auch für den Nachweis relevante Inhalte zu dokumentieren, z.B. Titel, sowie Versand- und Zieladressen der Nachricht. Sie kann je nach Medium auch den Inhalt der Nachricht enthalten." + } + ] + }, + { + "id": "ASST.4.5", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Vereinbarungen zum Austausch", + "props": [ + { + "name": "alt-identifier", + "value": "c419af7f-3559-42d5-bb68-be72eac2c509" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "parts": [ + { + "id": "ASST.4.5_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Daten" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Verträge" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Regelungen zum Transfer" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Informationen und Assets für Daten SOLLTE Regelungen zum Transfer verankern." + }, + { + "id": "ASST.4.5_gdn", + "name": "guidance", + "prose": "Beispielsweise kann es für Geschäfts- und Betriebsgeheimnisse wie Patente sinnvoll sein, eine explizite Vertraulichkeitsvereinbarung abzuschließen, bevor genaue Informationen weitergegeben werden. Hierzu kann z.B. gehören nach welchen Kriterien ausgetausche Informationen zu klassifizieren sind oder wie in eine bestimme Klasse eingestufte Daten zu schützen oder verarbeiten sind. Die Vereinbarung über anzuwendende Sicherheitsanforderungen kann anhand von vorformulierten Vertragstexten erfolgen oder über den Austausch von Sicherheitsanforderungen in strukturierten Datenformaten wie OSCAL. Letzteres hat den Vorteil, dass weiterführende Daten etwa zum Umsetzungsstand ebenfalls leichter gepflegt und ausgetauscht werden können." + } + ] + } + ] + }, + { + "id": "ASST.5", + "title": "Wartung", + "props": [ + { + "name": "label", + "value": "5" + }, + { + "name": "alt-identifier", + "value": "ea4483ce-48a6-4404-b7f7-cb897cbd9fcb" + } + ], + "controls": [ + { + "id": "ASST.5.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Wartungsbedarf dokumentieren", + "props": [ + { + "name": "alt-identifier", + "value": "432cc626-f971-493b-b983-9bad32ed84e0" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "links": [ + { + "href": "#BES.7.4", + "rel": "related" + } + ], + "parts": [ + { + "id": "ASST.5.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Betriebshandbuch" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "den Wartungsbedarf" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "für Systemkomponenten und die zum Betrieb erforderliche Infrastruktur" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Informationen und Assets für IT-Systeme SOLLTE den Wartungsbedarf für Systemkomponenten und die zum Betrieb erforderliche Infrastruktur dokumentieren." + }, + { + "id": "ASST.5.1_gdn", + "name": "guidance", + "prose": "Wartungsbedarf meint die regelmäßig oder anlassbezogen erforderlichen Maßnahmen zur Instandhaltung, Aktualisierung und Funktionssicherung von Systemkomponenten und der Betriebsinfrastruktur eines IT-Systems. Unter Systemkomponenten sind hier sowohl Hardware-Elemente (Server, Netzwerkkomponenten, Speichergeräte) als auch Software-Elemente (Betriebssysteme, Middleware, Anwendungen) zu verstehen; die Infrastruktur umfasst unterstützende Einrichtungen wie Stromversorgung, Klimatisierung, Kommunikationsschnittstellen oder Brandabschottungen für Kabel- und Rohrdurchführungen. Ziel der Dokumentation ist es, einen strukturierten Überblick über alle Abhängigkeiten, Wartungszyklen und Zuständigkeiten zu schaffen, um sicherzustellen, dass Betrieb und Sicherheit des Systems über den gesamten Lebenszyklus hinweg gewährleistet bleiben. Die Dokumentation des Wartungsbedarfs kann verhindern, dass kritische Komponenten ungeplant ausfallen oder Sicherheitslücken durch versäumte Updates bestehen bleiben. Ohne klare Wartungsinformationen könnte beispielsweise ein Firmware-Update bei einer Netzkomponente übersehen werden, was Angreifern das Eindringen über bekannte Schwachstellen erleichtern könnte. Umgekehrt kann eine dokumentierte Wartungsplanung dazu beitragen, Systemverfügbarkeit und Integrität zu sichern, indem sie planbare Wartungsfenster und Zuständigkeiten ermöglicht. Durch das Zusammenführen der Herstellerangaben mit den vor Ort bekannten Rahmenbedingungen kann frühzeitig erkennbar werden, wann Eingriffe nötig sind, welche Abhängigkeiten bestehen und welche Fachkenntnisse oder Werkzeuge erforderlich sein können. Zum Ressourcenbedarf kann ebenso gehören, dass ein Testsystem bereitgestellt wird, dass administrative Zugänge vorbereitet werden oder dass ein Wartungsdienstleister während der Arbeiten abgesichert fernzugreifen kann. Für die praktische Umsetzung kann es hilfreich sein, einen zentralen Wartungskalender mit Ampel‑Logik zu führen, der sich aus dem Konfigurations‑ oder Asset‑Management speist. Eine Ticket‑ oder Change‑Management‑Lösung kann automatisch Termine auslösen, Erinnerungen versenden und Reports erzeugen." + } + ] + }, + { + "id": "ASST.5.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Geregelte Wartungen", + "params": [ + { + "id": "asst.5.2-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "f4508940-fad1-49ff-b7f7-d6612790f145" + } + ], + "label": "regelmäßig oder prädiktiv" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "f4508940-fad1-49ff-b7f7-d6612790f145" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "ASST.5.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Betriebshandbuch" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Wartung" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{regelmäßig oder prädiktiv}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "ausführen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Informationen und Assets für IT-Systeme SOLLTE die Wartung {{ insert: param, asst.5.2-prm1 }} ausführen." + }, + { + "id": "ASST.5.2_gdn", + "name": "guidance", + "prose": "„Wartung“ bezeichnet hier sämtliche planmäßigen oder zustandsabhängigen Maßnahmen zur Erhaltung der Funktionsfähigkeit, Sicherheit und Integrität von IT-Systemen, Anwendungen und den zugehörigen physischen wie logischen Assets („maintenance“). Verschleißende Systeme und Infrastrukturen könnten zu Fehlerzuständen und hierdurch zu Ausfallzeiten und Sicherheitsrisiken führen. Das betrifft auch die für das IT-System verwendete Stromversorgung, USV, Klimatechnik, sowie Brandabschottungen für Kabel- und Rohrdurchführungen. Beispiele hierfür können vielfältig sein: Ein Server kann turnusmäßig mit Firmware‑Updates versorgt oder nach einer bestimmten Betriebsdauer auf Staubablagerungen überprüft werden; Netzwerkkomponenten können per Lifecycle‑Plan aktualisiert oder lüfterseitig gereinigt werden; USV‑Batterien können nach Herstellerempfehlung getauscht werden; Software‑Module können per Patch‑Management in ein Wartungsfenster eingeplant werden. Eine „regelmäßige Wartung“ bedeutet hierbei ein turnusmäßiges Vorgehen nach festen Zeitintervallen (Vorausbestimmte Instandhaltungsstrategie), während prädiktive Wartung den tatsächlichen Abnutzungs- oder Belastungszustand auswertet, um Eingriffe bedarfsgerecht zu planen (Prädiktive Instandhaltungsstrategie). Beide Ansätze verfolgen das Ziel, Sicherheits- und Betriebsrisiken zu minimieren, die aus dem Ausfall oder der Fehlfunktion technischer Komponenten resultieren könnten." + } + ] + }, + { + "id": "ASST.5.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Autorisierung von Wartungen", + "params": [ + { + "id": "asst.5.3-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "59a96eb8-75ad-420d-aab5-4d448f5c12ae" + } + ], + "label": "eine zuständige Person oder Rolle" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "59a96eb8-75ad-420d-aab5-4d448f5c12ae" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + } + ], + "parts": [ + { + "id": "ASST.5.3_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Wartungen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "durch {{eine zuständige Person oder Rolle}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "autorisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Informationen und Assets für IT-Systeme KANN Wartungen durch {{ insert: param, asst.5.3-prm1 }} autorisieren." + }, + { + "id": "ASST.5.3_gdn", + "name": "guidance", + "prose": "Wartung ist die planbare oder anlassbezogene Änderung an Komponenten (z. B. Patches, Konfigurationsänderungen, Hardwaretausch, Firmware-Updates). Dies betrifft auch den Transfers des Systems oder von Komponenten für Reparatur oder Austausch an einem anderen Ort. Unklare oder fehlende Freigaben für Wartungen könnten zu unkoordinierten Änderungen, ungeplanten Ausfällen, Datenverlust oder der Einschleusung von Schadcode durch interne wie externe Dienstleister führen; außerdem könnten unpassende Zeitfenster oder inkompatible Firmwarestände Vertraulichkeit, Integrität und Verfügbarkeit beeinträchtigen. Zur Umsetzung kann die Institution ein schlankes Freigabeverfahren gestalten, z.B. (1) ein standardisiertes Wartungs-Ticket mit Pflichtangaben (Asset-ID, Maßnahme, Risiko-Einschätzung, Zeitfenster, Back-out-Plan, Ansprechpartner), das über CMDB-Bezüge (Konfigurationsdatenbank) automatisch an Asset-/Service-Owner geroutet und dort freigegeben werden kann; (2) technische Gates, sodass produktive Änderungen erst im Status „autorisiert“ durch CI/CD-Pipelines (Build-/Deployment-Kette), Change-Flags oder Just-in-Time-Privilegien mit zeitlich begrenzten Admin-Konten ausgeführt werden können; (3) ein Katalog vordefinierter, niedrig-riskanter Standardwartungen (z. B. Signatur-Updates, agentenlose Log-Rotation), die vorab genehmigt und ohne Einzelfallprüfung ausgelöst werden können." + } + ] + }, + { + "id": "ASST.5.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Behandlung als Änderungen und Tests", + "props": [ + { + "name": "alt-identifier", + "value": "45437d44-0d0c-402f-934a-5cb48552b203" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "links": [ + { + "href": "#TEST.1.1", + "rel": "required" + } + ], + "parts": [ + { + "id": "ASST.5.4_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Betriebshandbuch" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "zur Wartung erforderliche Änderungen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "im Einklang mit den Verfahren und Regelungen zum Management von Änderungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Informationen und Assets für IT-Systeme SOLLTE zur Wartung erforderliche Änderungen im Einklang mit den Verfahren und Regelungen zum Management von Änderungen verankern." + }, + { + "id": "ASST.5.4_gdn", + "name": "guidance", + "prose": "Werden bei Wartungsarbeiten Änderungen vorgenommen, so sind die Verfahren und Regelungen zum Management von Änderungen auch hier anzuwenden. Ein nicht abgestimmter oder ungetesteter Eingriff könnte etwa zu Systemausfällen, Datenverlust oder dem Einbringen von Schwachstellen führen, während ein geordnetes Änderungsmanagement solche Risiken deutlich reduzieren kann. Sinnvoll ist oft ein kurzer Wartungsleitfaden, in dem typische Abläufe (z. B. Vorab‑Backup, Rollback‑Option, Dokumentation des Ergebnisses) hinterlegt werden. Auf diese Weise kann jede Wartung reproduzierbar, überprüfbar und ressourcenschonend gestaltet werden, ohne sich auf konkrete Herstellerprodukte festzulegen." + } + ] + }, + { + "id": "ASST.5.5", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Wartungsfenster", + "props": [ + { + "name": "alt-identifier", + "value": "afaa993d-da28-4f69-93a0-41cb472e8e42" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "links": [ + { + "href": "#TEST.5.1", + "rel": "related" + } + ], + "parts": [ + { + "id": "ASST.5.5_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "bei voraussichtlichen Verfügbarkeiteinschränkungen durch bevorstehende Wartungen die Nutzenden" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "über Dauer und Umfang der Einschränkungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "informieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Informationen und Assets für IT-Systeme SOLLTE bei voraussichtlichen Verfügbarkeiteinschränkungen durch bevorstehende Wartungen die Nutzenden über Dauer und Umfang der Einschränkungen informieren." + }, + { + "id": "ASST.5.5_gdn", + "name": "guidance", + "prose": "Wenn durch Wartungsarbeiten die Verfügbarkeit von Systemen, Anwendungen oder Daten in Geschäftsprozessen beeinträchtigt werden könnte, ist eine Information über die bevorstehende Wartung sinnvoll. Dazu gehört, dass über die Dauer (Beginn und Ende), sowie über den Umfang der Einschränkungen (z.B. betroffene Anwendungen, Netze oder Funktionen) informiert wird. Beispiele sind Firmware- oder Betriebssystemupdates von zentralen Speichersystemen oder Netzkomponenten, der Austausch von Komponenten an zentralen Stromverteilern oder eine Wartung an den Klimasystemen eines nicht redundant ausgelegten Serverraumes." + } + ] + }, + { + "id": "ASST.5.6", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Wartung durch Externe", + "props": [ + { + "name": "alt-identifier", + "value": "bcf1c916-4509-4461-b9a7-08803a4e96b1" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + } + ], + "links": [ + { + "href": "#SENS.8.4", + "rel": "related" + } + ], + "parts": [ + { + "id": "ASST.5.6_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Mitarbeitende" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "bei Wartungen, die von Externen ohne Sicherheitsüberprüfung vorgenommen werden," + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "zur Beaufsichtigung durch internes Personal" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "anweisen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Informationen und Assets für Mitarbeitende KANN bei Wartungen, die von Externen ohne Sicherheitsüberprüfung vorgenommen werden, zur Beaufsichtigung durch internes Personal anweisen." + }, + { + "id": "ASST.5.6_gdn", + "name": "guidance", + "prose": "Eine Sicherheitsüberprüfung bezeichnet hier die systematische Bewertung der Vertrauenswürdigkeit und Zuverlässigkeit von externen Dienstleistern oder deren Personal durch background checks, Referenzprüfungen oder formelle Sicherheitsclearance-Verfahren. Externe ohne Sicherheitsüberprüfung umfasst alle Dienstleister, Wartungstechniker oder Support-Personal von Drittanbietern, die nicht durch entsprechende Verfahren zur Vertrauenswürdigkeit validiert wurden. Beaufsichtigung durch internes Personal ist die kontinuierliche Anwesenheit und Überwachung von qualifizierten eigenen Mitarbeitenden während der gesamten Dauer der Wartungsarbeiten, um sowohl fachliche Aufsicht als auch Sicherheitskontrolle zu gewährleisten. Dazu gehört, dass die begleitenden Mitarbeitenden sicherstellen, dass Externe ausschließlich auf die für ihre Wartungsaufgabe notwendigen Systembereiche zugreifen und keine unauthorisierten Aktionen wie das Kopieren von Dateien oder die Installation nicht genehmigter Software durchführen. Externe Wartungskräfte ohne Sicherheitsüberprüfung könnten sonst vertrauliche Informationen einsehen, kopieren oder manipulieren, Malware einschleusen oder unbeabsichtigt Systemkonfigurationen beschädigen. Durch begleitendes internes Personal kann eine Institution kontinuierliche Aufsicht über alle durchgeführten Aktivitäten sicherstellen und gleichzeitig den Wissenstransfer für zukünftige Wartungsarbeiten fördern. Bei einer Fernwartung kann dies z.B. durch das Logging von Diagnose- und Wartungsaktivitäten, sowie die anschließende Überprüfung, dass alle Wartungsverbindungen getrennt sind, geschehen." + } + ] + }, + { + "id": "ASST.5.7", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Dokumentation von Wartungen", + "props": [ + { + "name": "alt-identifier", + "value": "a2ecedcb-3515-4d40-b4d3-b745142af15b" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "links": [ + { + "href": "#TEST.4.1.2", + "rel": "related" + } + ], + "parts": [ + { + "id": "ASST.5.7_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Wartungen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "mit Asset, Anlass, Zeitpunkt, Beteiligten, durchgefürten Maßnahmen und Ergebnissen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Informationen und Assets für IT-Systeme SOLLTE Wartungen mit Asset, Anlass, Zeitpunkt, Beteiligten, durchgefürten Maßnahmen und Ergebnissen dokumentieren." + }, + { + "id": "ASST.5.7_gdn", + "name": "guidance", + "prose": "Die Dokumentation von Wartungen an IT-Systemen kann Nachvollziehbarkeit, Verantwortlichkeit und Beweisfähigkeit herstellen; ohne sie könnten unerkannte Konfigurationsänderungen, verdeckte Schwachstellen oder verlängerte Ausfälle entstehen. Zur Umsetzung kann die Institution ein schlankes, einheitliches Wartungsprotokoll verwenden, das je Vorgang erfasst: (1) eindeutig referenziertes Asset/CI, Umgebung und betroffener Service, (2) Anlass, Art der Wartung (präventiv/korrektiv/notfall) und geplanter Zeitraum, (3) Verantwortliche, Beteiligte/Dienstleister und Kontakt, (4) geplante Maßnahmen, Backout-Plan sowie definierte Vor-/Nach-Checks, (5) tatsächlich durchgeführte Schritte („as-built“), verwendete Versionen/Images und geänderte Parameter, (6) Messergebnisse/Logs/Screenshots/Hashes als Nachweis, (7) Auswirkungen (Downtime, Kapazität), Abnahme/Testresultat und Freigabe, (8) Verweise auf Tickets/Changes/Störungsmeldungen, (9) Datum/Zeit mit Zeitzone und Protokollversion. Die Erfassung kann in einem vorhandenen Ticket- oder CMDB-Werkzeug stattfinden." + } + ] + } + ] + }, + { + "id": "ASST.6", + "title": "Rücknahme von Assets", + "props": [ + { + "name": "label", + "value": "6" + }, + { + "name": "alt-identifier", + "value": "0dc994d9-6c58-4fd3-9487-1c9a74b0752f" + } + ], + "controls": [ + { + "id": "ASST.6.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Abhandenkommen", + "props": [ + { + "name": "alt-identifier", + "value": "7dba0afd-96c5-4484-8b48-12fc45294247" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + } + ], + "links": [ + { + "href": "#DET.2.1", + "rel": "required" + }, + { + "href": "#REA.1.1", + "rel": "related" + }, + { + "href": "#SENS.8.1", + "rel": "related" + } + ], + "parts": [ + { + "id": "ASST.6.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Arbeitsanweisung" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine Vorgehensweise beim Abhandenkommen von Assets" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Informationen und Assets SOLLTE eine Vorgehensweise beim Abhandenkommen von Assets verankern." + }, + { + "id": "ASST.6.1_gdn", + "name": "guidance", + "prose": "Eine Vorgehensweise beim Abhandenkommen von Assets ist ein strukturierter, dokumentierten Reaktionsprozess, der alle notwendigen Schritte und Verantwortlichkeiten für den Umgang mit verloren gegangenen, gestohlenen oder anderweitig außer Kontrolle geratenen Informationswerten nach Eintritt des Verlustereignisses festlegt. Ohne strukturierte Prozesse könnte ein verlorenes Laptop mit Kundendaten zu anhaltenden Datenschutzverletzungen führen, ein gestohlenes Smartphone könnte dauerhaft unbefugten Zugang zu Unternehmensressourcen ermöglichen, oder vergessene Dokumente könnten unkontrolliert Geschäftsgeheimnisse preisgeben. Eine etablierte Vorgehensweise kann durch schnelle Reaktionszeiten und koordinierte Sofortmaßnahmen das bereits eingetretene Schadenspotential begrenzen und die Wiederherstellung der Informationssicherheit beschleunigen. Die Vorgehensweise zur Behandlung kann z.B. die Ortung, Sperrung oder Löschung per Fernzugriff, das Melden bei Ermittlungsbehörden oder lokalen Fundbüros, die Änderung aller betroffenen Zugangsdaten, sowie die Sperre von Authentisierungsmitteln und der enthaltenen SIM-Karte beim Provider beinhalten." + } + ] + }, + { + "id": "ASST.6.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Rückkehr abhandengekommener Assets", + "props": [ + { + "name": "alt-identifier", + "value": "74259c1e-dc72-42dc-b2b7-b93d700616e7" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + } + ], + "parts": [ + { + "id": "ASST.6.2_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Arbeitsanweisung" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine Vorgehensweise bei Rückkehr von abhandengekommenen Assets" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Informationen und Assets SOLLTE eine Vorgehensweise bei Rückkehr von abhandengekommenen Assets verankern." + }, + { + "id": "ASST.6.2_gdn", + "name": "guidance", + "prose": "\"Abhandengekommene Assets\" bezeichnen Informationswerte, die ungewollt oder ungeplant außerhalb der direkten Kontrolle der Institution geraten sind - beispielsweise durch Verlust, Diebstahl, vergessene Mitnahme oder andere unbeabsichtigte Ereignisse. Eine \"Vorgehensweise bei Rückkehr\" meint einen strukturierten Prozess zur systematischen Wiederaufnahme und sicherheitstechnischen Bewertung solcher Assets nach ihrer Wiederbeschaffung oder ihrem Wiederauffinden. Diese Anforderung zielt auf die Risikominimierung bei der Wiederintegration potenziell kompromittierter Assets ab, da während der unkontrollierten Abwesenheit Manipulationen, unautorisierten Zugriffe oder Datenabflüsse aufgetreten sein könnten. Ohne strukturierte Rückkehrprozesse kann die unkontrollierte Wiederverwendung zurückgekehrter Assets zu Sicherheitslücken, Malware-Infektionen oder Datenschutzverletzungen führen. Umsetzungen können bei der Asset-Rückkehr (1) eine vollständige Identitätsprüfung anhand eindeutiger Kennzeichnungen wie Seriennummern oder Asset-Tags, (2) eine technische Integritätsprüfung durch Malware-Scans, Firmware-Vergleiche und Hardwareanalysen sowie (3) eine Datenintegrität-Bewertung mittels kryptografischer Prüfsummen oder forensischer Analysen umfassen. Als Alternative zur tiefergehenden Analyse von Systemen und Daten bietet sich auch die Löschung oder Entsorgung an. Prozessual kann die Einrichtung einer zentralen Asset-Return-Stelle mit definierten Eskalationswegen bei Auffälligkeiten, die Dokumentation aller Rückkehrfälle in einem Asset-Management-System und die Implementierung von Quarantäne-Verfahren für verdächtige Assets erfolgen." + } + ] + }, + { + "id": "ASST.6.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Konformitätsprüfung", + "props": [ + { + "name": "alt-identifier", + "value": "f3ccc5ee-2b5d-47a0-80cb-3ad5b510b50d" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "parts": [ + { + "id": "ASST.6.3_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Arbeitsanweisung" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "bei Rücknahme die Konformität mit den einschlägigen Anforderungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "testen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Informationen und Assets für IT-Systeme KANN bei Rücknahme die Konformität mit den einschlägigen Anforderungen testen." + }, + { + "id": "ASST.6.3_gdn", + "name": "guidance", + "prose": "Assets sind nicht konform, wenn Sie die für sie geltenden Anforderungen nicht oder nicht mehr erfüllen, z.B. weil die Hardware manipuliert wurde oder keine Sicherheitsupdates mehr bereitgestellt werden. Die Prüfung kann durch automatische Prüfsysteme oder mit manuellen Verfahren, z.B. Sichtkontrolle von Siegeln, gewährleistet werden. Auch die Nutzung von Stichprobenkontrollen ist möglich. Zur Behandlung kann entweder die Ursache der Nichtkonformität beseitigt werden, oder alternative Lösungen können angewendet werden, z.B. kann das Gerät auf Werkszustand zurückgesetzt und neu installiert werden. Ist dies nicht möglich so bleibt keine andere Behandlungsmöglichkeit als das Assets nicht weiter zu verwenden." + } + ] + }, + { + "id": "ASST.6.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Zurücksetzen auf Ausgangszustand", + "props": [ + { + "name": "alt-identifier", + "value": "0ca16c9c-e998-420b-9006-417e155d30d6" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "ASST.6.4_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "bei Rücknahme das Zurücksetzen in einen definierten Ausgangszustand" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "ausführen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Informationen und Assets für IT-Systeme SOLLTE bei Rücknahme das Zurücksetzen in einen definierten Ausgangszustand ausführen." + }, + { + "id": "ASST.6.4_gdn", + "name": "guidance", + "prose": "Mit definierter Ausgangszustand ist hier ein Zustand gemeint, in dem alle während der Nutzung möglicherweise angefallenen vertraulichen Daten wieder gelöscht oder vernichtet sind. Dies kann in vielen Fällen am einfachsten durch Überschreiben der Speichermedien, kryptografisches Löschen oder das vollständige Zurücksetzen auf Werkseinstellungen erfolgen. Zur Umsetzung einer Vernichtung siehe DIN 66399. Alternativ kann auch ein vordefiniertes Systemimage installiert werden, wodurch das System für die erneute Ausgabe vorbereitet wird, wenn das Systemimage alle vorher auf dem System vorhandenen Daten überschreibt oder diese vollständig verschlüsselt waren." + } + ] + } + ] + }, + { + "id": "ASST.7", + "title": "Löschen und Vernichten", + "props": [ + { + "name": "label", + "value": "7" + }, + { + "name": "alt-identifier", + "value": "18ef7966-f4d3-4400-85e4-7252fd57226b" + } + ], + "controls": [ + { + "id": "ASST.7.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Nicht mehr benötigte Anwendungen", + "props": [ + { + "name": "alt-identifier", + "value": "dd5c811a-37c3-450f-b391-029bbe503afa" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "ASST.7.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine Deinstallation nicht mehr benötigter Anwendungsinstanzen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Informationen und Assets für Anwendungen SOLLTE eine Deinstallation nicht mehr benötigter Anwendungsinstanzen verankern." + }, + { + "id": "ASST.7.1_gdn", + "name": "guidance", + "prose": "„Nicht mehr benötigte Anwendungsinstanzen“ sind installierte, aber aktuell nicht mehr genutzte Softwarekomponenten, Applikationen oder Dienste (engl. application instances), die auf Servern, Endgeräten oder virtuellen Umgebungen verbleiben, obwohl ihre betriebliche Funktion entfallen ist. Diese können produktiv, testweise oder temporär eingerichtet gewesen sein. Eine Deinstallation ist hier als geregelter Prozess der vollständigen und nachvollziehbaren Entfernung solcher Komponenten zu verstehen, einschließlich ihrer Konfigurationen, temporären Daten und zugehörigen Zugriffsrechte. Der Zweck liegt in der Vermeidung von Sicherheits- und Integritätsrisiken, die durch ungenutzte oder veraltete Software entstehen könnten – etwa weil diese weiterhin Angriffsflächen bietet, unbemerkte Schwachstellen enthält oder unbeabsichtigte Datenabflüsse begünstigen könnte. Die Entfernung kann somit die Systemhärtung und Transparenz über tatsächlich aktive Anwendungen fördern. Dies kann durch Systeme automatisiert geschehen, die bei der Zuordnung von Anwendungen zu Personen eine automatische Installation oder Deinstallation erledigt. Wenn Anwendungen nicht länger benötigt werden, dann sind auch die für die Anwendung erforderlichen Berechtigungen nicht länger erforderlich. Hierzu gehören sowohl lokale als auch Cloud-Zugänge. Steht die Anwendungsinstanz in der Cloud nicht unter der Kontrolle der Institution, so sind stattdessen soweit möglich alle Daten in der Cloud zu löschen." + } + ] + }, + { + "id": "ASST.7.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Aufbewahrungs- und Löschfristen", + "params": [ + { + "id": "asst.7.2-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "2574ffa3-fa96-4eed-8a9a-e67216d499d9" + } + ], + "label": "eine bestimmte Frist" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "2574ffa3-fa96-4eed-8a9a-e67216d499d9" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Archivierung" + } + ], + "parts": [ + { + "id": "ASST.7.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Daten" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Arbeitsanweisung" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Aufbewahrung" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "für {{eine bestimmte Frist}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Informationen und Assets für Daten SOLLTE die Aufbewahrung für {{ insert: param, asst.7.2-prm1 }} verankern." + }, + { + "id": "ASST.7.2_gdn", + "name": "guidance", + "prose": "Klar festgelegte und in Prozessen verankerte Löschfristen helfen Sicherheits- und Compliancerisiken zu minimieren, indem Informationen entsorgt werden, wenn sie nicht mehr benötigt werden. Dies gilt sowohl für Originaldaten als auch für Kopien und archivierte Aufzeichnungen, einschließlich Protokolldateien. Hier besteht ein enger Bezug zu Compliance-Verpflichtungen, sowohl zur Aufbewahrung (z.B. für Nachweispflichten aus dem Steuerrecht) als auch zur Löschung (z.B. aus dem Datenschutzrecht). Die Auswahl der Methode zum Löschen hängt von der Vertraulichkeit der Daten, verwendeten Anwendungen oder Speichermedien und ggf. bestehenden Compliance-Verpflichtungen ab. Eine Herausforderung stellt dabei der Umgang mit Datenkopien in Datensicherungen dar. Da das nachträgliche Herausfiltern bestimmter Daten aus Datensicherungen häufig sehr aufwändig ist, ist es empfehlenswert die Versionierung der Datensicherungen so zu gestalten, dass die Daten zum Ablauf der Löschfrist ohnehin mit neueren Datensicherungen überschrieben wurden oder ältere Kopien der Datensicherung insgesamt gelöscht sind. Für kurzlebige Daten bietet es sich an diese nicht in eine einzige zentrale Datensicherung aufzunehmen, sondern je nach Schutzbedarf an Integrität und Verfügbarkeit dieser Daten gar keine oder eine Datensicherung für kurzlebige Daten, z.B. Diagnosedaten mit Personenbezug, vorzuhalten." + } + ], + "controls": [ + { + "id": "ASST.7.2.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Langfristige Archivierung", + "params": [ + { + "id": "asst.7.2.1-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "d26539e6-62c3-469a-87f3-87ab15fd9213" + } + ], + "label": "eine bestimmte Frist" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "d26539e6-62c3-469a-87f3-87ab15fd9213" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Archivierung" + } + ], + "links": [ + { + "href": "#NOT.4.5", + "rel": "related" + } + ], + "parts": [ + { + "id": "ASST.7.2.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Daten" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Arbeitsanweisung" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die langfristige Archivierung" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "mindestens für {{eine bestimmte Frist}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Informationen und Assets für Daten KANN die langfristige Archivierung mindestens für {{ insert: param, asst.7.2.1-prm1 }} verankern." + }, + { + "id": "ASST.7.2.1_gdn", + "name": "guidance", + "prose": "Archivierung meint hier die langfristige Aufbewahrung derjenigen Daten, die über längere Zeit benötigt werden, z.B. über mehr als 10 Jahre. Hierbei kann es sich beispielsweise um Nachweise der Einhaltung rechtlicher Verpflichtungen, Daten zur Nachvollziehbarkeit von Angriffen (Audit Log), oder zur Geltendmachung von Ansprüchen handeln. Dabei kann es sich sowohl um analoge Dokumente als auch um digitale Daten handeln. Die meisten Institutionen verarbeiten Daten, die aufgrund von Compliance-Verpflichtungen langfristig gespeichert werden, z.B. handels- und steuerrechtlich relevante Dokumente oder Eigentumsurkunden." + } + ] + } + ] + }, + { + "id": "ASST.7.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Geregeltes Löschen oder Vernichten", + "params": [ + { + "id": "asst.7.3-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "7dc77e01-b62b-4e7f-bb4c-d9c67551d8fa" + } + ], + "label": "kryptografisches löschen, überschreiben oder vernichten des Speichermediums" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "7dc77e01-b62b-4e7f-bb4c-d9c67551d8fa" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + } + ], + "parts": [ + { + "id": "ASST.7.3_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Daten" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Arbeitsanweisung" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "diese bei Erreichen der Aufbewahrungs- und Löschfrist" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "durch {{kryptografisches löschen, überschreiben oder vernichten des Speichermediums}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "löschen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Informationen und Assets für Daten SOLLTE diese bei Erreichen der Aufbewahrungs- und Löschfrist durch {{ insert: param, asst.7.3-prm1 }} löschen." + }, + { + "id": "ASST.7.3_gdn", + "name": "guidance", + "prose": "Ereignisse können z.B. der Ablauf der festgelegten Löschfrist, die Veräußerung von Assets oder deren Weitergabe an einen Dienstleister sein. Relevant sind hierbei neben physischen und virtuellen Medien auch die Datenträger in IT-Systemen wie Notebooks und Fahrzeugen. Sicheres Löschen bedeutet, Daten so zu entfernen, dass sie mit vertretbarem Aufwand (auch forensisch) nicht mehr rekonstruierbar sind. Je nach Medium geschieht das z. B. durch verifizierbares Überschreiben, kryptografisches Löschen (Schlüsselvernichtung) oder physische Zerstörung (inklusive zugehöriger Metadaten, Caches und Datensicherungen). Die Anforderung ist auch erfüllt, wenn sie durch einen Dienstleister durchgeführt wird, der hierzu verpflichtet ist." + } + ], + "controls": [ + { + "id": "ASST.7.3.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Standardisierte Vernichtung", + "params": [ + { + "id": "asst.7.3.1-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "93178616-6931-48e6-aee7-d51742868d4f" + } + ], + "label": "einem anerkannten Standard" + }, + { + "id": "asst.7.3.1-prm2", + "props": [ + { + "name": "alt-identifier", + "value": "93178616-6931-48e6-aee7-d51742868d4f" + } + ], + "label": "einer Sicherheitsstufe" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "93178616-6931-48e6-aee7-d51742868d4f" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "ASST.7.3.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Daten" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "ein standardisiertes Verfahren zur Vernichtung bei Veräußerung" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "nach {{einem anerkannten Standard}} gemäß {{einer Sicherheitsstufe}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Informationen und Assets für Daten SOLLTE ein standardisiertes Verfahren zur Vernichtung bei Veräußerung nach {{ insert: param, asst.7.3.1-prm1 }} gemäß {{ insert: param, asst.7.3.1-prm2 }} verankern." + }, + { + "id": "ASST.7.3.1_gdn", + "name": "guidance", + "prose": "Anerkannte Standards für die Vernichtung sind DIN 66399 sowie ISO/IEC 21964; die Sicherheitsstufe beschreibt die Intensität der Vernichtung, wobei eine möglichst kleinteilige Zerkleinerung die Wahrscheinlichkeit einer Rekonstruktion aus Fragmenten minimiert. Die konkrete Vorgehensweise richtet sich nach der Art des Speichermediums: Papier wird nach Sicherheitsstufe P-3 gemäß ISO/IEC 21964-2 vernichtet, optische Speichermedien nach Sicherheitsstufe O-3 gemäß ISO/IEC 21964-2 und sonstige Speichermedien nach Sicherheitsstufe E-3 oder H-3 gemäß ISO/IEC 21964-2. Für Speichermedien, die vor der Nutzung vollständig verschlüsselt waren und deren kryptografische Schlüssel unwiederbringlich gelöscht wurden, ist eine physische Vernichtung nicht erforderlich." + } + ] + }, + { + "id": "ASST.7.3.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Löschverfahren", + "props": [ + { + "name": "alt-identifier", + "value": "aeea856c-cbc3-47a2-bc60-56515be30f12" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "ASST.7.3.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Daten" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "ein Verfahren zur endgültigen Löschung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Informationen und Assets für Daten SOLLTE ein Verfahren zur endgültigen Löschung verankern." + }, + { + "id": "ASST.7.3.2_gdn", + "name": "guidance", + "prose": "Hierunter ist ein nachvollziehbarer, dokumentierter technischer und prozessualer Ablauf zur endgültigen Entfernung oder Unkenntlichmachung von Informationen zu verstehen; „Endgültig“ bedeutet, dass Daten mit vertretbarem Aufwand nicht wiederhergestellt werden können. Ohne klare Verfahren könnte Alt- oder Schattendatenbestand bei Geräteweitergabe, in Backups oder Cloud-Objektspeichern verbleiben, was zu Datenschutzverletzungen, Erpressungsversuchen oder regulatorischen Sanktionen führen könnte. Hierzu gehören sowohl Nutzdaten von IT-Systemen und Anwendungen, als auch Konfigurationsdateien oder Daten, die in begleitenden Dokumenten wie Betriebshandbüchern oder Informationswikis abgelegt sind." + } + ] + }, + { + "id": "ASST.7.3.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Zugelassene Löschanwendungen", + "params": [ + { + "id": "asst.7.3.3-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "2fe24be6-1c6b-4a72-8f40-263e1cffc815" + } + ], + "label": "eine vom BSI zugelassene Löschanwendung" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "2fe24be6-1c6b-4a72-8f40-263e1cffc815" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "parts": [ + { + "id": "ASST.7.3.3_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Daten" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Daten durch {{eine vom BSI zugelassene Löschanwendung}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "löschen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Informationen und Assets für Daten KANN die Daten durch {{ insert: param, asst.7.3.3-prm1 }} löschen." + }, + { + "id": "ASST.7.3.3_gdn", + "name": "guidance", + "prose": "Für eine aktuelle Liste der zugelassenen Löschanwendungen siehe BSI-Schrift 7164: Liste der zugelassenen IT-Sicherheitsprodukte und -systeme. Sicheres Löschen bedeutet, Daten so zu entfernen, dass sie mit vertretbarem Aufwand (auch forensisch) nicht mehr rekonstruierbar sind. Je nach Medium geschieht das z. B. durch verifizierbares Überschreiben, kryptografisches Löschen (Schlüsselvernichtung) oder physische Zerstörung (inklusive zugehöriger Metadaten, Caches und Datensicherungen)." + } + ] + } + ] + }, + { + "id": "ASST.7.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Wiederherstelltest", + "props": [ + { + "name": "alt-identifier", + "value": "08759519-9e68-4c39-964e-e2461161b8cc" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + } + ], + "parts": [ + { + "id": "ASST.7.4_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Daten" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "den Erfolg des Löschvorgangs" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "testen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Informationen und Assets für Daten KANN den Erfolg des Löschvorgangs testen." + }, + { + "id": "ASST.7.4_gdn", + "name": "guidance", + "prose": "Der Test kann mit Software oder Hardware, die vermeintlich gelöschte Daten von Speichermedien wiederherstellen kann, durchgeführt werden. Bei vernichteten Speichermedien ist der Test entbehrlich." + } + ] + }, + { + "id": "ASST.7.5", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Vernichtungseinrichtungen", + "props": [ + { + "name": "alt-identifier", + "value": "85366b94-56c1-4c46-a34b-52b96d7ab1d4" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + } + ], + "parts": [ + { + "id": "ASST.7.5_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Standorte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "an allen Standorten, an denen körperliche Dokumente verarbeitet werden, Vernichtungseinrichtungen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "vor dem Zugriff unbefugter geschützt" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "installieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Informationen und Assets für Standorte KANN an allen Standorten, an denen körperliche Dokumente verarbeitet werden, Vernichtungseinrichtungen vor dem Zugriff unbefugter geschützt installieren." + }, + { + "id": "ASST.7.5_gdn", + "name": "guidance", + "prose": "Die Installation von Vernichtungseinrichtungen dient dem Schutz sensibler Daten vor unbefugtem Zugriff, Missbrauch oder unkontrollierter Weitergabe. Ziel ist es, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen auch über ihren gesamten Lebenszyklus hinweg sicherzustellen – einschließlich der ordnungsgemäßen Entsorgung. Unter Vernichtungseinrichtungen versteht man mechanische oder elektronische Geräte, die Dokumente so zerkleinern oder unlesbar machen, dass eine Rekonstruktion unmöglich ist; typische Beispiele sind Aktenvernichter mit Schutzklasse P-4 oder höher oder Entsorgungsbehälter mit gesichertem Zugriff (z.B. abschließbare Sicherheitsbehälter). Dies kann auch so realisiert werden, dass Datenträger gesammelt und zentral gelöscht oder vernichtet werden. Kann durch die Institution selbst oder Dienstleister für die Aktenvernichtung umgesetzt werden. Bei der Verwendung von Dienstleistern ist es sinnvoll, deren Professionalität zu verifzieren, z.B. durch ein Zertifikat. Bei der Umsetzung ist es sinnvoll darauf zu achten, dass solche Einrichtungen nicht nur ausreichend dimensioniert und technisch geeignet sind, sondern auch physisch gegen unbefugten Zugriff geschützt werden – etwa durch Aufstellung in abgeschlossenen Räumen oder durch Zugangskontrolle." + } + ] + }, + { + "id": "ASST.7.6", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Autorisierung von Veräußerungen", + "params": [ + { + "id": "asst.7.6-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "28fe533e-5e43-496d-abca-0a7ada987143" + } + ], + "label": "eine zuständige Person oder Rolle" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "28fe533e-5e43-496d-abca-0a7ada987143" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + } + ], + "parts": [ + { + "id": "ASST.7.6_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Veräußerungen von Assets" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "durch {{eine zuständige Person oder Rolle}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "autorisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Informationen und Assets SOLLTE Veräußerungen von Assets durch {{ insert: param, asst.7.6-prm1 }} autorisieren." + }, + { + "id": "ASST.7.6_gdn", + "name": "guidance", + "prose": "Veräußerung bezeichnet in diesem Kontext jede endgültige Abgabe oder Eigentumsübertragung (Verkauf, Spende, Rückgabe an Leasing, Recycling) eines Assets. Die Autorisierung kann verhindern, dass schutzbedürftige Informationen unkontrolliert den Besitz wechseln, Compliance-Vorgaben übersehen werden und Verantwortlichkeiten verwischen. Ohne geregelte Freigabe könnte ein ausgemusterter Laptop mit Restdaten verkauft, ein Speicherarray mit verbleibenden Schlüsseln weitergegeben oder eine nicht übertragbare Softwarelizenz abgegeben werden, was zu Datenabfluss, Vertragsverletzungen und Reputationsschäden führen könnte. Zur Umsetzung kann die Institution einen schlanken, nachvollziehbaren Freigabe-Workflow etablieren: Ein Veräußerungsantrag kann Asset-ID/Inventarnummer, Asset-Owner, Schutzbedarf/Klassifizierung, Datenträgerart, vorgesehenes Verwertungsverfahren, gewählte Datenlösch-/Vernichtungsmethode, Lizenz-/Vertragsrestriktionen, Übergabedatum und Empfänger erfassen; die Freigabe kann vor Übergabe erfolgen und revisionssicher protokolliert werden. Eine Entscheidungsmatrix kann die Genehmigungstiefe nach Schutzbedarf steuern, z. B. (1) „öffentlich“: fachliche Freigabe, (2) „intern“: Asset Owner + IT-Freigabe, (3) „vertraulich/streng“: Vier-Augen-Prinzip aus zuständige Person oder Rolle und Informationssicherheitsbeauftragte/r." + } + ] + }, + { + "id": "ASST.7.7", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Beschriftungen entfernen", + "props": [ + { + "name": "alt-identifier", + "value": "15560885-fab0-4b10-91ac-b1db78ada82b" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + } + ], + "parts": [ + { + "id": "ASST.7.7_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "alle der Institution zuzuordnenden Beschriftungen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "vor der Veräußerung von Assets" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "löschen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Informationen und Assets SOLLTE alle der Institution zuzuordnenden Beschriftungen vor der Veräußerung von Assets löschen." + }, + { + "id": "ASST.7.7_gdn", + "name": "guidance", + "prose": "Die „Beschriftung“ eines Assets ist jede physische oder digitale Kennzeichnung, die eine eindeutige Zuordnung des Gegenstands oder Datenträgers zu Werten der Institution ermöglicht. Darunter fallen unter anderem Eigentumskennzeichnungen (engl. asset tags), Seriennummern, Barcodes, Gravuren, Aufkleber mit Logo, aber auch digitale Metadaten wie Gerätebezeichnungen, E-Mail-Konten, Hostnamen oder eingebettete Wasserzeichen. Das Löschen dieser Beschriftungen vor der Veräußerung stellt sicher, dass Dritte nicht unmittelbar auf den ursprünglichen Eigentümer schließen oder unautorisierte Rückschlüsse auf interne Strukturen, Sicherheitsarchitekturen oder Verantwortlichkeiten ziehen. Ohne diese Bereinigung könnte ein weiterveräußertes Gerät durch verbleibende Markierungen auf die Institution hinweisen und so gezielt für Social-Engineering-Angriffe oder Reputationsschäden genutzt werden. Eine solche Zuordnung könnte zudem dazu führen, dass vertrauliche Informationen über Inventar, Sicherheitsstandards oder IT-Bestände unbeabsichtigt offengelegt werden. Zudem könnte eine verbleibende Beschriftung zu Missverständnissen über Eigentumsverhältnisse oder Haftung führen, falls das Asset in einen Vorfall verwickelt wird. Konkret können unter den zu entfernenden Beschriftungen beispielsweise Eigentumsaufkleber mit der Inventarnummer, Etiketten mit Standort- oder Abteilungsbezeichnungen, Markierungen für interne Verwendungszwecke (z.B. \"Testgerät\", \"intern\"), aber auch digital eingebettete Informationen wie institutionelle Metadaten in Office-Dokumenten oder gespeicherte WLAN-Profile auf mobilen Geräten verstanden werden. Auch optische Hinweise wie eingravierte Logos auf Gehäusen oder institutionelle Startbildschirme bei Laptops können darunterfallen. Zur Umsetzung kann es hilfreich sein, vor der Veräußerung eine Sichtprüfung durchzuführen und standardisierte Checklisten zu nutzen, um typische Beschriftungen systematisch zu identifizieren. Je nach Beschaffenheit des Assets kann der Einsatz von Reinigungsmitteln, Etikettenentfernern oder speziellen Werkzeugen in Betracht gezogen werden. Auch softwaregestützte Verfahren, etwa das Zurücksetzen auf Werkseinstellungen und das Prüfen auf verbleibende Metadaten, sind relevant. Nicht zuletzt kann die Einbindung von ISB oder des Datenschutzbeauftragten in Zweifelsfällen Klarheit darüber schaffen, ob eine bestimmte Kennzeichnung potenziell sicherheitsrelevant ist." + } + ] + } + ] + } + ] + }, + { + "id": "PERS", + "title": "Personal", + "props": [ + { + "name": "label", + "value": "PERS", + "remarks": "Die Praktik Personal fokussiert sich auf die Integration von Sicherheitsanforderungen über den gesamten Beschäftigungs- oder Vertragszyklus von Mitarbeitenden sowie externen Partnern hinweg. Ziel ist es, einen sicheren Umgang mit Informationen während der gesamten Dauer der Beschäftigung oder Zusammenarbeit zu gewährleisten. Diese Praktik fokussiert auf den sicheren Umgang mit Personen, während Praktiken, wie Berechtigungen, den systemseitigen Zugriff regeln." + }, + { + "name": "alt-identifier", + "value": "8c802b3e-567c-4dd2-a7d0-c915659deb57" + } + ], + "groups": [ + { + "id": "PERS.1", + "title": "Grundlagen", + "props": [ + { + "name": "label", + "value": "1" + }, + { + "name": "alt-identifier", + "value": "94bfadab-43f6-48d7-ac5e-49b8fbcf2794" + } + ], + "controls": [ + { + "id": "PERS.1.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Verfahren und Regelungen", + "props": [ + { + "name": "alt-identifier", + "value": "1ba30bb6-4b83-4e7c-b4f8-10d12531d50b" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Kompetenzmanagement" + } + ], + "parts": [ + { + "id": "PERS.1.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Prozess Personalmanagement" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Verfahren und Regelungen zum Personalmanagement" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Personal MUSS Verfahren und Regelungen zum Personalmanagement verankern." + }, + { + "id": "PERS.1.1_gdn", + "name": "guidance", + "prose": "Der Prozess stellt sicher, dass qualifiziertes und zuverlässiges Personal für alle Aufgaben zur Verfügung steht und allen Beteiligten ihre Aufgaben und Zuständigkeiten bekannt sind. Hierbei sind Einstellung, Einarbeitung, Weiterbildung und Austritt von Mitarbeitenden zu berücksichtigen. Die bei der Festlegung des Verfahrens im Einzelnen zu berücksichtigenden Inhalte ergeben sich aus den Anforderungen dieser Praktik." + } + ], + "controls": [ + { + "id": "PERS.1.1.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Dokumentation", + "props": [ + { + "name": "alt-identifier", + "value": "d7b763ba-c8c0-4c8d-8995-5192df0cce35" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "PERS.1.1.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Verfahren und Regelungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Personal MUSS die Verfahren und Regelungen dokumentieren." + }, + { + "id": "PERS.1.1.1_gdn", + "name": "guidance", + "prose": "Ohne eine Dokumentation könnte die Einhaltung der Verfahren und Regelungen von der Tagesform oder dem individuellen Wissen einzelner Mitarbeiter abhängen, was zu inkonsistenten Entscheidungen und Fehlern führen könnte; insbesondere beim Ausscheiden eines langjährigen Administrators könnte wertvolles prozessuales Wissen verloren gehen. Eine klare Dokumentation sichert die Verbindlichkeit und Wiederholbarkeit und dient als unverzichtbare Grundlage für die Einarbeitung neuer Kollegen, für die Durchführung von Audits und zur einheitlichen Anwendung der Regeln in der gesamten Institution. Die Dokumentation kann in einem eigenständigen Dokument als Richtlinie erfolgen, aber auch als Abschnitt in einem bereits bestehenden Dokument oder über die digital strukturiere Erfassung von Maßnahmen zur Umsetzung der Anforderungen, etwa über eine Software zum Management der Informationssicherheit. Sinnvoll ist es Ort und Struktur der Dokumentation an der jeweiligen Zielgruppe, d.h. den für das Management und die Umsetzung verantwortlichen Personen oder Rollen, auszurichten." + } + ] + }, + { + "id": "PERS.1.1.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Zuweisung der Aufgaben", + "params": [ + { + "id": "pers.1.1.2-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "e72ceb25-e617-43c9-b40f-e9f908580d6b" + } + ], + "label": "zuständigen Personen oder Rollen" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "e72ceb25-e617-43c9-b40f-e9f908580d6b" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "PERS.1.1.2_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Geschäftsverteilungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die mit den Verfahren und Regelungen verbundenen Aufgaben" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{zuständigen Personen oder Rollen}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "zuweisen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Personal MUSS die mit den Verfahren und Regelungen verbundenen Aufgaben {{ insert: param, pers.1.1.2-prm1 }} zuweisen." + }, + { + "id": "PERS.1.1.2_gdn", + "name": "guidance", + "prose": "Die Zuweisung von Aufgaben bezeichnet die eindeutige und verbindliche Übertragung von konkreten Tätigkeiten und Verantwortlichkeiten des Änderungsprozesses, wie etwa die Risikobewertung, die technische Umsetzung oder die finale Freigabe, an definierte Stellen in der Institution. Der Sinn dieser Vorschrift ist es, die Verantwortlichkeit (\"Accountability\") für jeden einzelnen Schritt im Prozess klarzustellen. Ohne eine solche Zuweisung könnten kritische Prüfungen unterbleiben, weil sich niemand explizit zuständig fühlt, was wiederum die Wahrscheinlichkeit fehlgeschlagener Änderungen erhöht. Eine klare Regelung kann sicherstellen, dass keine Aufgaben übersehen werden und jede Tätigkeit von einer dafür qualifizierten und befugten Stelle ausgeführt wird, was die Prozesssicherheit signifikant erhöht. Eine bewährte Methode zur Umsetzung ist die Erstellung einer RACI-Matrix (Responsible, Accountable, Consulted, Informed), die tabellarisch für jeden Prozessschritt darstellt, wer für die Durchführung verantwortlich ist, wer die Gesamtverantwortung trägt, wer zu konsultieren und wer zu informieren ist. Diese Zuständigkeiten können auch direkt in einem Workflow- oder Ticketsystem abgebildet werden, sodass Aufgaben, wie beispielsweise Genehmigungsschritte, automatisch an die richtige Gruppe oder Person weitergeleitet werden. Sinnvoll ist es die Zuweisung anhand von Rollen (z.B. \"Anwendungsverantwortlicher\", \"Netzwerkadministrator\", \"Change Manager\") vorzunehmen, statt an konkrete Personen. Dieser Ansatz stellt sicher, dass die Prozesse auch bei Personalwechseln stabil weiterlaufen, da die Zuständigkeit an die Funktion und nicht an das Individuum gebunden ist." + } + ] + }, + { + "id": "PERS.1.1.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Bekanntgabe", + "props": [ + { + "name": "alt-identifier", + "value": "47787c01-426d-4e26-967e-9df678143ac0" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "PERS.1.1.3_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die zuständigen Personen oder Rollen über die Verfahren und Regelungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "informieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Personal MUSS die zuständigen Personen oder Rollen über die Verfahren und Regelungen informieren." + }, + { + "id": "PERS.1.1.3_gdn", + "name": "guidance", + "prose": "Wenn die Zuständigen die etablierten Verfahren nicht kennen, besteht die Gefahr, dass diese – sei es aus Unwissenheit oder Bequemlichkeit – umgangen werden, was die Schutzwirkung des gesamten Managementsystems untergräbt. So könnte ein neuer Systemadministrator eine weitreichende Konfigurationsänderung vornehmen, ohne den vorgeschriebenen Genehmigungsprozess zu durchlaufen, was zu einem unbemerkten Sicherheitsrisiko führen könnte. Eine gezielte Information kann hingegen die Akzeptanz der Regelungen fördern und sicherstellen, dass alle Beteiligten ihre Rolle im Prozess verstehen und die Abläufe korrekt anwenden. Zur Umsetzung ist es sinnvoll die Dokumentation im Rahmen eines Onboarding-Prozesses bekanntzugeben und bei allen Änderungen eine automtatische Benachrichtigung aller zuständigen Personen oder Rollen anzustoßen." + } + ] + } + ] + }, + { + "id": "PERS.1.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Regelmäßige Überprüfung", + "params": [ + { + "id": "pers.1.2-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "f351ba29-d68c-43be-b5e2-0492942c98e4" + } + ], + "label": "regelmäßig" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "f351ba29-d68c-43be-b5e2-0492942c98e4" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "PERS.1.2_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Übungs- und Prüfplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Verfahren und Regelungen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{regelmäßig}} und anlassbezogen auf Aktualität" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überprüfen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Personal MUSS die Verfahren und Regelungen {{ insert: param, pers.1.2-prm1 }} und anlassbezogen auf Aktualität überprüfen." + }, + { + "id": "PERS.1.2_gdn", + "name": "guidance", + "prose": "Eine geplante der etablierten Verfahren und Regelungen dient dazu festzustellen, ob diese noch wirksam, effizient und an die aktuellen Gegebenheiten angepasst sind. Eine anlassbezogene Überprüfung wird durch spezifische Ereignisse ausgelöst, wie etwa einen schwerwiegenden Sicherheitsvorfall, eine strategische Neuausrichtung der IT oder neue gesetzliche Anforderungen. Der Zweck dieser Anforderung ist es, die kontinuierliche Verbesserung und Anpassungsfähigkeit des Prozesses sicherzustellen, da veraltete Regelungen neuen technologischen Entwicklungen oder Bedrohungen nicht mehr gerecht werden könnten; ein vor Jahren für monolithische Anwendungen konzipierter Prozess ist beispielsweise für agile Entwicklungsmethoden oder Microservice-Architekturen ungeeignet. Die regelmäßige Überprüfung kann die Effektivität des Sicherheitsmanagements langfristig aufrechterhalten und die Resilienz der Institution stärken." + } + ] + } + ] + }, + { + "id": "PERS.2", + "title": "Aufgaben, Rollen, Zuständigkeiten", + "props": [ + { + "name": "label", + "value": "2" + }, + { + "name": "alt-identifier", + "value": "eee896e5-d143-498b-b22f-c3daf3dea98b" + } + ], + "controls": [ + { + "id": "PERS.2.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Aufgaben", + "props": [ + { + "name": "alt-identifier", + "value": "0880e846-6ccf-4231-a71c-5d2b5d4bc97b" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + } + ], + "parts": [ + { + "id": "PERS.2.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Geschäftsverteilungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "für alle Tätigkeiten im Geltungsbereich Aufgaben" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "mit Abgrenzungen und Schnittstellen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Personal SOLLTE für alle Tätigkeiten im Geltungsbereich Aufgaben mit Abgrenzungen und Schnittstellen verankern." + }, + { + "id": "PERS.2.1_gdn", + "name": "guidance", + "prose": "Aufgaben sind die konkreten Tätigkeiten, die für die Errichtung und Aufrechterhaltung des ISMS erforderlich sind, z.B. Netz überwachen, Pentest durchführen, Administration einer bestimmten Fachanwendung. Definieren Sie die Aufgaben so, dass Abgrenzung und Schnittstellen untereinander klar sind. Hierzu kann auf die Praktiken, Zielobjekte und deren Anforderungen zurückgegriffen werden." + } + ] + }, + { + "id": "PERS.2.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Rollen", + "props": [ + { + "name": "alt-identifier", + "value": "75dd9995-57e7-4d64-aad3-8b1b0f6b57ea" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + } + ], + "links": [ + { + "href": "#PERS.2.1", + "rel": "required" + } + ], + "parts": [ + { + "id": "PERS.2.2_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Geschäftsverteilungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "für alle Tätigkeiten im Geltungsbereich Rollen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "mit Zielen, Aufgaben, erforderlichen Kompetenzen und Qualifikationen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Personal SOLLTE für alle Tätigkeiten im Geltungsbereich Rollen mit Zielen, Aufgaben, erforderlichen Kompetenzen und Qualifikationen verankern." + }, + { + "id": "PERS.2.2_gdn", + "name": "guidance", + "prose": "Eine Rolle beschreibt eine Stelle oder Personalposition innerhalb des ISMS. Sie benennt die Aufgaben der Position und die dazu erforderlichen Qualifikationsvoraussetzungen. Beispiele: Teamleiter, Entwickler, Admin, Sicherheitsanalyst, Fachaufgabenverantwortlicher." + } + ] + }, + { + "id": "PERS.2.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Rollentrennung", + "props": [ + { + "name": "alt-identifier", + "value": "e21a20ee-0e0c-4e42-b2fd-9849257bf3da" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Insider Threat" + } + ], + "parts": [ + { + "id": "PERS.2.3_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Geschäftsverteilungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "für unvereinbare Aufgaben eine Rollentrennung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Personal SOLLTE für unvereinbare Aufgaben eine Rollentrennung verankern." + }, + { + "id": "PERS.2.3_gdn", + "name": "guidance", + "prose": "Bei einer Aufgabentrennung (Separation of Duties) werden miteinander in Konflikt stehende Aufgaben und Verantwortlichkeitsbereiche getrennt, um die Möglichkeiten zu unbefugter oder unbeabsichtigter Änderung oder zum Missbrauch zu reduzieren. Unvereinbar sind zwei Aufgaben insbesondere, wenn zwischen ihnen (1.) ein Interessenkonflikt oder (2.) ein erhöhtes Risiko für Datenmissbrauch vorliegt. (1.) Interessenkonflikte können z.B. die Auditierung der eigenen Aufgaben oder der Ergebnisse von Vorgesetzten sein. (2.) Ein erhöhtes Risiko für Datenmissbrauch liegt z.B. vor, wenn sowohl Rechnungsstellung als auch -genehmigung in einer Hand liegen." + } + ], + "controls": [ + { + "id": "PERS.2.3.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Rollentrennung - Verzeichnisdienst", + "props": [ + { + "name": "alt-identifier", + "value": "8cfe386c-0e94-4926-b82d-07d24441e434" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Insider Threat" + } + ], + "parts": [ + { + "id": "PERS.2.3.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Geschäftsverteilungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "zwischen Administration von Verzeichnisdiensten und Pflege der verwalteten Daten eine Rollentrennung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Personal SOLLTE zwischen Administration von Verzeichnisdiensten und Pflege der verwalteten Daten eine Rollentrennung verankern." + }, + { + "id": "PERS.2.3.1_gdn", + "name": "guidance", + "prose": "Administrierende von Verzeichnisdiensten haben sehr weitreichende Rechte, einschließlich der Möglichkeit, Zugangskontrollen zu ändern. Durch eine Rollentrennung wird verhindert, dass eine Person die vollständige Kontrolle über die angebundene Infrastruktur und die Dateninhalte übernimmt. Dies reduziert das Risiko vorsätzlicher und fahrlässiger Schäden an zentraler Stelle." + } + ] + }, + { + "id": "PERS.2.3.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Rollentrennung - Virtualisierung", + "props": [ + { + "name": "alt-identifier", + "value": "e26fc4a9-c6cf-41f8-bfd7-e01cc950de47" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Insider Threat" + } + ], + "parts": [ + { + "id": "PERS.2.3.2_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Geschäftsverteilungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "zwischen Administration von virtuellen Systemen und Virtualisierungslösungen eine Rollentrennung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Personal SOLLTE zwischen Administration von virtuellen Systemen und Virtualisierungslösungen eine Rollentrennung verankern." + }, + { + "id": "PERS.2.3.2_gdn", + "name": "guidance", + "prose": "Die Administration von virtuellen Systemen bezeichnet im hier relevanten Kontext die operative Verwaltung einzelner virtueller Gastsysteme (VMs, Container, etc.), einschließlich ihrer Bereitstellung, Konfiguration, Wartung und Zugriffskontrolle. Die Virtualisierungslösung hingegen ist hier die übergeordnete Plattform oder Hypervisor-Ebene, welche physische Ressourcen virtualisiert und mehreren virtuellen Gastsystemen bereitstellt. Diese Differenzierung entspricht dem Prinzip der Rollen- bzw. Funktionstrennung (separation of duties bzw. role separation), bei dem Aufgabenbereiche so abgegrenzt werden, dass keine Person gleichzeitig über kritische Systemebenen hinweg vollumfängliche Kontrolle besitzt. Damit wird ein wesentliches Sicherheitsprinzip technischer Infrastruktur auf die Virtualisierungsschichten übertragen. Der Zweck dieser Trennung liegt in der Begrenzung von Fehlerrisiken und der Prävention von Missbrauch – sowohl vorsätzlich als auch unbeabsichtigt. Eine Person, die zugleich die Virtualisierungsebene und virtuelle Systeme verwaltet, könnte durch Fehlkonfiguration, Nachlässigkeit oder Manipulation unbeabsichtigt erhebliche Auswirkungen auf eine Vielzahl von Systemen haben oder deren Nachvollziehbarkeit beeinträchtigen. Eine klare Rollentrennung kann dem vorbeugen, indem sie Kontrollmechanismen stärkt, die Integrität der Umgebung wahrt und Fehler früher erkennen lässt." + } + ] + }, + { + "id": "PERS.2.3.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Rollentrennung - Audits", + "props": [ + { + "name": "alt-identifier", + "value": "e105f038-c2ae-4411-b7bd-26d6b0188e5e" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Insider Threat" + } + ], + "parts": [ + { + "id": "PERS.2.3.3_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Geschäftsverteilungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "zwischen Implementierung von Sicherheitsanforderungen und deren Überprüfung eine Rollentrennung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Personal SOLLTE zwischen Implementierung von Sicherheitsanforderungen und deren Überprüfung eine Rollentrennung verankern." + }, + { + "id": "PERS.2.3.3_gdn", + "name": "guidance", + "prose": "Fehlt eine Rollentrennung zwischen Umsetzung und Überprüfung von Sicherheitsmaßnahmen, so besteht ein Interessenkonflikt zwischen der Aufgabe korrekter Implementierung und dem Finden von weiterem Verbesserungspotenzial oder Mängeln bei einer Überprüfung." + } + ] + }, + { + "id": "PERS.2.3.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Rollentrennung - Änderungen und Tests", + "props": [ + { + "name": "alt-identifier", + "value": "de64f532-164e-4b94-b32f-481ccc0be507" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + } + ], + "parts": [ + { + "id": "PERS.2.3.4_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Geschäftsverteilungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "zwischen Implementierung und Test eine Rollentrennung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Personal SOLLTE zwischen Implementierung und Test eine Rollentrennung verankern." + }, + { + "id": "PERS.2.3.4_gdn", + "name": "guidance", + "prose": "Liegen Implementierung von Funktionen und Änderungen, sowie deren Test in derselben Hand, so werden Probleme durch Nachlässigkeit oder Versehen leicht übersehen." + } + ] + } + ] + }, + { + "id": "PERS.2.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Zuständigkeiten", + "props": [ + { + "name": "alt-identifier", + "value": "349d8caa-cd47-484d-8474-1497c7212382" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + } + ], + "links": [ + { + "href": "#PERS.2.2", + "rel": "required" + } + ], + "parts": [ + { + "id": "PERS.2.4_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Geschäftsverteilungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Zuständigkeiten für die Rollen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "zuweisen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Personal SOLLTE Zuständigkeiten für die Rollen zuweisen." + }, + { + "id": "PERS.2.4_gdn", + "name": "guidance", + "prose": "Damit die mit jeder Rolle verbundenen Aufgaben auch tatsächlich bearbeitet werden, ist es erforderlich, jeder Rolle eine oder mehrere Personen oder Organisationseinheiten zuzuweisen, die für die mit der Rolle verbundenen Aufgaben zuständig sind. Hierbei ist es wichtig darauf zu achten, dass alle Rollen von ausreichenden Personalressourcen abgedeckt werden. Je nach Rolle können dafür auch Vertretungsregelungen erforderlich sein." + } + ] + } + ] + }, + { + "id": "PERS.3", + "title": "Personalzugang", + "props": [ + { + "name": "label", + "value": "3" + }, + { + "name": "alt-identifier", + "value": "2af62e3f-0681-400d-b829-ab05178a15c4" + } + ], + "controls": [ + { + "id": "PERS.3.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Dienst- oder Arbeitsvertrag", + "props": [ + { + "name": "alt-identifier", + "value": "6d824928-418e-4e14-bbfc-e2f60d14d816" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + } + ], + "parts": [ + { + "id": "PERS.3.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Mitarbeitende" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Arbeitsvertrag" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die vertrauliche Behandlung von Betriebs- und Geschäftsgeheimnissen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "im Dienst- oder Arbeitsvertrag" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "vereinbaren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Personal für Mitarbeitende SOLLTE die vertrauliche Behandlung von Betriebs- und Geschäftsgeheimnissen im Dienst- oder Arbeitsvertrag vereinbaren." + }, + { + "id": "PERS.3.1_gdn", + "name": "guidance", + "prose": "Ergänzend zu den gesetzlichen Verpflichtungen zur Wahrung von Betriebs- und Geschäftsgeheimnissen (z.B. aus dem GeschGehG) ist eine explizite Vertraulichkeitsvereinbarung (Non-disclosure Agreement, NDA) mit allen Externen und Mitarbeitenden sinnvoll, die Zugriff auf schützenswerte Informationen erhalten." + } + ] + }, + { + "id": "PERS.3.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Verfahrensanweisungen", + "props": [ + { + "name": "alt-identifier", + "value": "2bd3c14a-de1c-436e-9400-3ae619ab9b9a" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + } + ], + "parts": [ + { + "id": "PERS.3.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Mitarbeitende" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Arbeitsanweisung" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "explizit zur Einhaltung von Verfahrensanweisungen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "bei Neuzugang" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "anweisen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Personal für Mitarbeitende SOLLTE explizit zur Einhaltung von Verfahrensanweisungen bei Neuzugang anweisen." + }, + { + "id": "PERS.3.2_gdn", + "name": "guidance", + "prose": "Wenn neue Mitarbeitende keine explizite Anweisung erhalten, dass Sicherheitsanweisungen existieren und einzuhalten sind, könnte es zu verspäteter Kenntnisnahme der Regelungen und dadurch zu Mängeln in der Einhaltung kommen. Das ist insbesondere bei Mitarbeitenden der Fall, die in manche Informationsverarbeitungsprozesse eingebunden sind, aber keinen Zugang zu Plattformen wie dem Intranet erhalten: Werden Verfahrensanweisungen nur im Intranet abgelegt, aber nicht bei Neuzugang explizit bekannt gegeben, so können diese Personen keine Kenntnis davon nehmen. Die Menge der Verfahrensanweisungen ergibt sich aus den für die jeweilige Tätigkeit relevanten gesetzlichen Anforderungen, sowie den Anforderungen zu den Handlungsworten „anweisen“ und „verbieten“." + } + ] + }, + { + "id": "PERS.3.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Betriebs- und Geschäftsgeheimnisse", + "props": [ + { + "name": "alt-identifier", + "value": "6f72a6a1-b8fc-42e4-b0aa-479b2ad48f40" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Insider Threat" + } + ], + "parts": [ + { + "id": "PERS.3.3_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Mitarbeitende" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Arbeitsanweisung" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "zum Umgang mit definierten Betriebs- und Geschäftsgeheimnissen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "bei Neuzugang" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "anweisen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Personal für Mitarbeitende SOLLTE zum Umgang mit definierten Betriebs- und Geschäftsgeheimnissen bei Neuzugang anweisen." + }, + { + "id": "PERS.3.3_gdn", + "name": "guidance", + "prose": "Eine Dienst- oder Arbeitsanweisung, die zu wahrende Betriebs- und Geschäftsgeheimnisse klar definiert, stellt sicher, dass Mitarbeitende ihre Pflichten genau kennen. Hierbei geht es insbesondere darum, klar zu definieren welche Informationen als Betriebs- und Geschäftsgeheimnisse zu behandeln sind, z.B. Kundendaten, Patente, alle nicht zur Veröffentlichung bestimmten oder mit bestimmten Schutzklassifizierungen versehene Dokumente. Außerdem relevant ist, dass diese Geheimnisse auch über das Ende des Vertragsverhältnisses hinaus zu wahren sind. Hier besteht ein enger Zusammenhang zum Informationsmanagement, wo z.B. auch geregelt wird, welche Anweisungen zum Schutz im Einzelnen einzuhalten sind (z.B. Markierung, Verwahrung). Damit die dort festgelegten Regelungen den Mitarbeitenden auch bekannt sind wird eine entsprechende Anweisung bei Neuzugang benötigt." + } + ] + }, + { + "id": "PERS.3.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Stellenbeschreibungen", + "props": [ + { + "name": "alt-identifier", + "value": "280066e0-d0e8-4b93-88e9-697852b5873f" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "links": [ + { + "href": "#PERS.2.2", + "rel": "required" + } + ], + "parts": [ + { + "id": "PERS.3.4_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Prozess Personalmanagement" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Stellenbeschreibungen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "vor Ausschreibung zu besetzender Stellen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Personal SOLLTE Stellenbeschreibungen vor Ausschreibung zu besetzender Stellen dokumentieren." + }, + { + "id": "PERS.3.4_gdn", + "name": "guidance", + "prose": "Eine Stellenbeschreibung ist hier ein Dokument, das die zentralen Aufgaben, Verantwortlichkeiten, Befugnisse und fachlichen sowie sicherheitsrelevanten Kriterien einer Position vor deren Ausschreibung festhält. Der Zweck dieser Anforderung liegt darin, klare Rollen und Verantwortlichkeiten zu definieren, um sowohl Fehlbesetzungen als auch unklare Zuständigkeiten zu vermeiden. Ohne eine dokumentierte Stellenbeschreibung könnte eine Institution Personen einstellen, deren Qualifikation oder Vertrauenswürdigkeit nicht den tatsächlichen sicherheitsrelevanten Kriterien entsprechen, was zu erhöhtem Missbrauchsrisiko oder unzureichender Aufgabenerfüllung führen könnte. Eine sauber ausgearbeitete Stellenbeschreibung kann dagegen Transparenz schaffen, spätere Konflikte reduzieren und die Sicherheit erhöhen, indem bereits im Auswahlprozess klar wird, welche Fachkenntnisse und Integritätsanforderungen benötigt werden. Beachten Sie dabei auch rechtliche Anforderungen wie das AGG. Zur Umsetzung kann eine Institution zunächst ein standardisiertes Format für Stellenbeschreibungen verwenden, in dem u.a. Aufgabenbereiche, Verantwortlichkeiten, sowie erforderliche fachliche und sicherheitsrelevante Qualifikationen erfasst werden. Eine abgestufte Vorlage kann bei unterschiedlichen Rollenarten (z.B. operative Mitarbeitende, Teamleitungen, Fachspezialisten) helfen, die Konsistenz zu wahren. Prozessual kann eine interne Prüfschleife eingerichtet werden, in der HR und die jeweilige Fachabteilung die Beschreibung autorisieren, bevor eine Stelle öffentlich ausgeschrieben wird. Außerdem kann es hilfreich sein, regelmäßig zu prüfen, ob bestehende Stellenbeschreibungen noch zu aktuellen Prozessen und eingesetzten Technologien passen, sodass keine veralteten oder unvollständigen Kriterien in die Rekrutierung einfließen." + } + ] + }, + { + "id": "PERS.3.5", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Prüfung der Bewerbungsunterlagen", + "props": [ + { + "name": "alt-identifier", + "value": "6c7d319c-9299-4238-be20-11e057a5a7e1" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Kompetenzmanagement" + } + ], + "parts": [ + { + "id": "PERS.3.5_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Prozess Personalmanagement" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Qualifikation von Bewerbenden anhand der Bewerbungsunterlagen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "vor der Besetzung von Stellen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "testen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Personal SOLLTE die Qualifikation von Bewerbenden anhand der Bewerbungsunterlagen vor der Besetzung von Stellen testen." + }, + { + "id": "PERS.3.5_gdn", + "name": "guidance", + "prose": "Die Prüfung von Unterlagen zur Qualifikation ist essenziell, um sicherzustellen, dass nur fachlich geeignete Personen Zugang zu sensiblen IT-Systemen und Daten erhalten. Fehlende Qualifikationen erhöhen das Risiko für Bedienfehler oder mangelndes Sicherheitsbewusstsein, was Schwachstellen und Angriffsflächen für Bedrohungen eröffnet. Zudem wird so das Risiko von gezielter Einschleusung von Angreifern verringert. Berücksichtigen Sie dabei die Persönlichkeitsrechte der Bewerbenden." + } + ] + }, + { + "id": "PERS.3.6", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Vertrauenswürdigkeit von Bewerbenden", + "props": [ + { + "name": "alt-identifier", + "value": "3c93daf0-eb43-4d81-88c5-58d0f21d68eb" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Insider Threat" + } + ], + "parts": [ + { + "id": "PERS.3.6_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Prozess Personalmanagement" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Vertrauenswürdigkeit von Bewerbenden" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "vor der Besetzung von Stellen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "testen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Personal SOLLTE die Vertrauenswürdigkeit von Bewerbenden vor der Besetzung von Stellen testen." + }, + { + "id": "PERS.3.6_gdn", + "name": "guidance", + "prose": "Hierbei sind sowohl die Identität der Person, als auch ihre Qualifikation anhand von Nachweisen zu verifizieren. Insbesondere ist zu prüfen, ob der vorgelegte Lebenslauf korrekt, plausibel und vollständig ist. Bei Unklarheiten oder Widersprüchen können die Angaben durch Rückfragen bei der Quelle der Qualifikationsnachweise verifiziert werden." + } + ], + "controls": [ + { + "id": "PERS.3.6.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Sicherheitsüberprüfung (intern)", + "props": [ + { + "name": "alt-identifier", + "value": "a0b61264-fa20-481e-8d7a-3b0e37cc0a80" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Insider Threat" + } + ], + "links": [ + { + "href": "#BES.4.9", + "rel": "related" + } + ], + "parts": [ + { + "id": "PERS.3.6.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Prozess Personalmanagement" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine Sicherheitsüberprüfung" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "vor der Besetzung von sicherheitsrelevanten Stellen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "ausführen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Personal KANN eine Sicherheitsüberprüfung vor der Besetzung von sicherheitsrelevanten Stellen ausführen." + }, + { + "id": "PERS.3.6.1_gdn", + "name": "guidance", + "prose": "Eine Sicherheitsüberprüfung meint die Verifikation von Identität, beruflicher Qualifikation und Verlässlichkeit von allen Personen mit Zugriff auf schützenswerte Informationen, hier konkret der Mitarbeitenden. Bei einer Sicherheitsüberprüfung kann je nach Art der Tätigkeit ein Polizeiliches Führungszeugnis, eine finanzielle Hintergrundprüfung, ein Sicherheitsinterview, eine psychologische Eignungsprüfung, sowie eine Überprüfung von sozialen Beziehungen und Netzwerken sinnvoll sein. Hierbei besteht ein enger Bezug zum Persönlichkeits- und Datenschutzrecht der Betroffenen. Eine sicherheitsrelevante Stelle ist eine Funktion oder Rolle innerhalb einer Institution, die direkt Zugang zu sicherheitskritischen Informationen, IT-Systemen oder Konfigurationen hat und deren Handlungen die Vertraulichkeit, Integrität oder Verfügbarkeit dieser Systeme maßgeblich beeinflussen könnten. Dazu zählen insbesondere (1) der bzw. die Informationssicherheitsbeauftragte, (2) System-, Netzwerk- und Serveradministratoren sowie (3) weitere Administrator*innen mit erhöhten Rechten wie Domain-Admins, Datenbank-Admins oder Security-Engineers, ebenso wie (4) Personen mit Zugriff auf sicherheitskritische Schlüsselmaterialien etwa im Kryptografie- oder Identitätsmanagement. Nicht darunter fallen hingegen Tätigkeiten ohne sicherheitskritischen Systemzugang oder ohne Einfluss auf Sicherheitsfunktionen, etwa Reinigungs- oder Empfangstätigkeiten." + } + ] + } + ] + }, + { + "id": "PERS.3.7", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Einarbeitung", + "props": [ + { + "name": "alt-identifier", + "value": "5c23386c-7f57-436a-9906-9b34d4f94462" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Kompetenzmanagement" + } + ], + "parts": [ + { + "id": "PERS.3.7_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Mitarbeitende" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Prozess Personalmanagement" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine Einarbeitung" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "bei Neuzugang" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "ausführen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Personal für Mitarbeitende SOLLTE eine Einarbeitung bei Neuzugang ausführen." + }, + { + "id": "PERS.3.7_gdn", + "name": "guidance", + "prose": "Eine Einarbeitung ist eine strukturierte Vorgehensweise, bei der neue Mitarbeitende mit den relevanten Aufgaben, Zuständigkeiten, Systemen und Sicherheitsanforderungen ihrer Tätigkeit vertraut gemacht werden. Ziel ist es, ihnen nicht nur fachliche Grundlagen, sondern auch die spezifischen Abläufe und Schutzmaßnahmen der Institution zu vermitteln, sodass sie von Beginn an korrekt und sicher arbeiten können. Ohne eine solche Einarbeitung könnte es zu Fehlbedienungen von IT-Systemen kommen, die Sicherheitsvorfälle begünstigen, oder zu Verzögerungen bei der Umsetzung von Aufgaben, die die Verfügbarkeit kritischer Prozesse beeinträchtigen. Eine sorgfältige Einführung kann dagegen das Verständnis für Sicherheitsregeln fördern, den verantwortungsvollen Umgang mit sensiblen Informationen stärken und die Bindung der Mitarbeitenden an die Institution erhöhen. Um die Anforderung umzusetzen, kann die Institution verschiedene Maßnahmen kombinieren: (1) ein strukturiertes Onboarding-Dokument, das die wichtigsten Systeme, Zugriffsrechte und Sicherheitsrichtlinien erklärt, (2) eine begleitende Einführung durch erfahrene Kolleginnen und Kollegen, die praxisnahes Wissen vermitteln, (3) die direkte Integration sicherheitsrelevanter Hinweise in den Arbeitsalltag, etwa durch kurze Erläuterungen beim erstmaligen Zugriff auf sensible Anwendungen oder beim Anlegen von Berechtigungen. Ergänzend kann eine Checkliste genutzt werden, um sicherzustellen, dass alle relevanten Schritte nachvollziehbar abgeschlossen werden. Auch ein „Paten-System“ kann eingesetzt werden, bei dem neue Mitarbeitende für die ersten Wochen eine feste Ansprechperson haben, die Fragen klärt und auf mögliche sicherheitsrelevante Stolperfallen hinweist." + } + ] + } + ] + }, + { + "id": "PERS.4", + "title": "Personalentwicklung", + "props": [ + { + "name": "label", + "value": "4" + }, + { + "name": "alt-identifier", + "value": "b464c9dc-72d9-42a2-bdd6-207717685de7" + } + ], + "controls": [ + { + "id": "PERS.4.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Qualifikationsbedarf", + "params": [ + { + "id": "pers.4.1-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "9c551357-437f-4662-a8b5-0fac98831755" + } + ], + "label": "regelmäßig" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "9c551357-437f-4662-a8b5-0fac98831755" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Kompetenzmanagement" + } + ], + "parts": [ + { + "id": "PERS.4.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Mitarbeitende" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Schulungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "den Bedarf an Qualifikationsmaßnahmen anhand der Aufgaben" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{regelmäßig}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überprüfen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Personal für Mitarbeitende SOLLTE den Bedarf an Qualifikationsmaßnahmen anhand der Aufgaben {{ insert: param, pers.4.1-prm1 }} überprüfen." + }, + { + "id": "PERS.4.1_gdn", + "name": "guidance", + "prose": "Qualifikationsmaßnahmen sind z.B. Zertifizierte Weiterbildungen, interne Schulungen oder universitäre Kurse. Prüfen Sie den Bedarf anhand der Aufgaben der Mitarbeitenden und berücksichtigen Sie dabei die in den Geschäftsprozessen verwendeten IT-Produkte. Zweckmäßig ist es hierzu in jedem Team einen Jahresplan zur Teilnahme an Qualifikationsmaßnahmen zu erstellen." + } + ] + }, + { + "id": "PERS.4.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Rollenspezifische Schulungen und Sensibilisierungen", + "params": [ + { + "id": "pers.4.2-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "f5c0d014-bafa-4672-ad7d-fdb1fb16f3c4" + } + ], + "label": "regelmäßig" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "f5c0d014-bafa-4672-ad7d-fdb1fb16f3c4" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Kompetenzmanagement" + } + ], + "links": [ + { + "href": "#PERS.2.2", + "rel": "required" + }, + { + "href": "#SENS.1.1", + "rel": "related" + } + ], + "parts": [ + { + "id": "PERS.4.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Nutzende" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Schulungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "rollenspezifische Schulungen und Sensibilisierungen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "im Einklang mit den Anforderungen der Praktik Sensibilisierung bei Neuzugang und {{regelmäßig}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "ausführen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Personal für Nutzende SOLLTE rollenspezifische Schulungen und Sensibilisierungen im Einklang mit den Anforderungen der Praktik Sensibilisierung bei Neuzugang und {{ insert: param, pers.4.2-prm1 }} ausführen." + }, + { + "id": "PERS.4.2_gdn", + "name": "guidance", + "prose": "Neue Mitarbeitende könnten ohne gezielte Einführung unbewusst vertrauliche Informationen preisgeben, unsichere Passwörter wählen oder Phishing-Mails öffnen, da ihnen relevante Schutzprinzipien oder Gefährdungen im Kontext ihrer Tätigkeit nicht bekannt sind. Ebenso könnte es bei länger Beschäftigten zu einer „Routineblindheit“ kommen, sodass beispielsweise ungewöhnliche Systemmeldungen nicht mehr ernst genommen oder sensible Daten versehentlich an unberechtigte Personen weitergegeben werden. „Rollenspezifisch“ bedeutet in diesem Zusammenhang, dass die Inhalte der Schulung auf die jeweilige Tätigkeit zugeschnitten werden – eine Person im IT-Bereich benötigt z. B. andere Sicherheitskenntnisse als jemand im Vertrieb oder in der Verwaltung. Beispiele für rollenspezifische Schulungen sind Kurse zum sicheren IT-Betrieb für Administrierende, OWASP® Top 10 Training für Webentwickler und Social Engineering Abwehrtraining für die Institutionsleitung. Eine Institution kann diese Anforderung etwa umsetzen, indem sie standardisierte E-Learning-Module bereitstellt, die durch kurze Praxisszenarien ergänzt werden. Hilfreich ist, die Dauer der Formate überschaubar zu halten, um die Akzeptanz hoch zu halten, und die Wirksamkeit regelmäßig durch Feedback oder kleine Tests zu prüfen. Ebenso kann es sinnvoll sein, Fachbereiche in die Ausgestaltung einzubinden, damit Beispiele und Szenarien aus dem tatsächlichen Arbeitsalltag stammen. Mitarbeitende, die bereits eine passende Qualifikation erworben haben, können von der Schulung ausgenommen werden." + } + ], + "controls": [ + { + "id": "PERS.4.2.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Produktspezifische Schulungen und Sensibilisierungen", + "props": [ + { + "name": "alt-identifier", + "value": "5fa63606-a580-4995-a17e-41f05197ee2c" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + } + ], + "links": [ + { + "href": "#PERS.2.2", + "rel": "required" + } + ], + "parts": [ + { + "id": "PERS.4.2.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Administrierende" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Schulungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "produktspezifische Schulungen zum Umgang mit administrativen Werkzeugen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "bei Neuzugang und dem Einsatz neuer IT-Produkte" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "ausführen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Personal für Administrierende SOLLTE produktspezifische Schulungen zum Umgang mit administrativen Werkzeugen bei Neuzugang und dem Einsatz neuer IT-Produkte ausführen." + }, + { + "id": "PERS.4.2.1_gdn", + "name": "guidance", + "prose": "Ziel ist es, den sicheren Umgang mit den in der Institution genutzten administrativen Werkzeugen zu erlernen (z.B. dem genutzten Verzeichnisdienst, Kommandozeilenbefehlen der genutzten Betriebssysteme, Wireshark oder Netzmanagement-Software). Hierzu gehört die Bedienung der jeweiligen Werkzeuge, Aspekte der sicheren Nutzung wie Verschlüsselung und Authentifizierung, die Vermeidung typischer Fehler, sowie der Umgang mit typischen Problemstellungen (Bugfixing). Verfügt die jeweilige Person bereits nachweislich über die Kenntnisse (z.B. passendes Zertifikat) so ist die Schulung für diese Person entbehrlich." + } + ] + } + ] + } + ] + }, + { + "id": "PERS.5", + "title": "Personalbetreuung", + "props": [ + { + "name": "label", + "value": "5" + }, + { + "name": "alt-identifier", + "value": "c555cb32-1885-4697-ae6a-cf2fc244847a" + } + ], + "controls": [ + { + "id": "PERS.5.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Maßregelung", + "props": [ + { + "name": "alt-identifier", + "value": "3f47f4d9-18dc-4887-ba8b-83a32e8e52e0" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Insider Threat" + } + ], + "parts": [ + { + "id": "PERS.5.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Prozess Personalmanagement" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "ein Verfahren zur Maßregelung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Personal SOLLTE ein Verfahren zur Maßregelung verankern." + }, + { + "id": "PERS.5.1_gdn", + "name": "guidance", + "prose": "Legen Sie fest unter welchen Voraussetzungen (z.B. Benennung konkreter Pflicht, Nachweis des Verstoßes) welche Maßregelungsmaßnahmen zu ergreifen sind, wenn Mitarbeitende gegen Anweisungen zur Informationssicherheit verstoßen. Maßnahmen können von Mitarbeitergesprächen über der Entzug der Berechtigung zum Zugriff auf vertrauliche Daten bis hin zu Abmahnungen oder Kündigungen reichen. Für arbeitsrechtliche Maßnahmen gilt der Grundsatz der Verhältnismäßigkeit und das Verbot der Maßregelung bei zulässiger Rechtsausübung. Aufgrund des engen Bezugs zum Arbeitsrecht ist im Zweifel eine Rechtsberatung empfehlenswert." + } + ] + }, + { + "id": "PERS.5.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Innentäter", + "props": [ + { + "name": "alt-identifier", + "value": "096b2653-f7f6-45db-8a29-088f1bc40ceb" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Insider Threat" + } + ], + "parts": [ + { + "id": "PERS.5.2_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Prozess Personalmanagement" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "ein interdisziplinäres Verfahren zum Umgang mit potenziellen Innentätern" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Personal SOLLTE ein interdisziplinäres Verfahren zum Umgang mit potenziellen Innentätern verankern." + }, + { + "id": "PERS.5.2_gdn", + "name": "guidance", + "prose": "Ein interdisziplinäres Verfahren zum Umgang mit potenziellen Innentätern integriert technische Aspekte und organisatorische Aspekte um zielgerichtete Verstöße durch Innentäter so früh wie möglich aufzuspüren und umfassend zu behandeln. Hierzu können beispielsweise die Analyse von Protokollen sowie der Einsatz technischer Detektionssysteme zur Identifikation unerlaubter Nutzung herangezogen werden. Ergänzend dazu dienen organisatorische Meldewege dazu, frühzeitig auf Anzeichen einer länger andauernden systemischen Unzufriedenheit bei Mitarbeitenden reagieren zu können. Maßnahmen bei Aufdeckung können von Mitarbeitergesprächen über den Entzug der Berechtigung zum Zugriff auf vertrauliche Daten bis hin zu Abmahnungen oder Kündigungen reichen. Berücksichtigen Sie bei der Festlegung die Persönlichkeitsrechte der Mitarbeitenden, insbesondere hinsichtlich Arbeitsüberwachung. Aufgrund des engen Bezugs zum Arbeitsrecht ist im Zweifel eine Rechtsberatung empfehlenswert." + } + ] + }, + { + "id": "PERS.5.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Vertrauens-Check sicherheitskritischer Rollen", + "params": [ + { + "id": "pers.5.3-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "76a4233a-f1b4-4e5c-9c53-8c6b7d10ec88" + } + ], + "label": "definierte sicherheitskritische Rollen" + }, + { + "id": "pers.5.3-prm2", + "props": [ + { + "name": "alt-identifier", + "value": "76a4233a-f1b4-4e5c-9c53-8c6b7d10ec88" + } + ], + "label": "regelmäßig" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "76a4233a-f1b4-4e5c-9c53-8c6b7d10ec88" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Insider Threat" + } + ], + "parts": [ + { + "id": "PERS.5.3_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Prozess Personalmanagement" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Vertrauenswürdigkeit für {{definierte sicherheitskritische Rollen}}" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{regelmäßig}} und anlassbezogen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überprüfen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Personal SOLLTE die Vertrauenswürdigkeit für {{ insert: param, pers.5.3-prm1 }} {{ insert: param, pers.5.3-prm2 }} und anlassbezogen überprüfen." + }, + { + "id": "PERS.5.3_gdn", + "name": "guidance", + "prose": "Die Vertrauenswürdigkeit bezeichnet im hier relevanten Kontext die Eignung und persönliche Integrität von Personen, die in besonders sicherheitskritischen Rollen tätig sind – also Funktionen mit erweiterten Zugriffsrechten, administrativen Befugnissen oder Zugang zu sensiblen Informationen und Systemen. Sicherheitskritische Rollen können beispielsweise Systemadministratoren, Personal mit privilegierten Rechten in Cloud-Diensten oder Mitarbeitende im Finanz- und Abrechnungswesen sein. Regelmäßig bedeutet in diesem Zusammenhang, dass eine Überprüfung nicht nur einmalig bei Einstellung, sondern in sinnvollen zeitlichen Abständen erfolgen kann – etwa alle zwei bis drei Jahre oder anlassbezogen, zum Beispiel bei Beförderungen oder einem Wechsel in eine sicherheitsrelevante Funktion. Der Sinn dieser Anforderung liegt darin, Risiken wie Insider-Bedrohungen, Manipulationen oder unbefugte Informationsweitergabe frühzeitig zu reduzieren. So könnte ein Mitarbeiter mit verschuldeten privaten Verhältnissen erpressbar werden und vertrauliche Daten weitergeben, wohingegen eine erneute Vertrauensprüfung kann frühzeitig auffällige Entwicklungen sichtbar machen und das Sicherheitsniveau stabilisieren. Eine Umsetzung kann durch verschiedene Maßnahmen erfolgen, die sowohl technische als auch prozessuale Ansätze kombinieren. Institutionen können beispielsweise (1) Selbstauskünfte oder aktuelle Führungszeugnisse anfordern, (2) regelmäßige Abgleiche mit internen HR-Daten wie Abmahnungen oder Compliance-Verstößen durchführen und (3) strukturierte Interviews oder Fragebögen einsetzen, die Veränderungen in der Lebenssituation mit Relevanz für die Vertrauenswürdigkeit adressieren. Ergänzend kann eine technische Unterstützung durch revisionssichere Dokumentation in HR-Systemen erfolgen, sodass jede Überprüfung nachvollziehbar bleibt. Ein pragmatischer Tipp ist es, Überprüfungen an ohnehin bestehende HR-Prozesse – etwa jährliche Mitarbeitergespräche oder Rezertifizierungen von Zugriffsrechten – anzubinden, um sie effizient und konsistent in den Betriebsablauf zu integrieren. Auf diese Weise kann die Institution die Anforderung praxisnah erfüllen und gleichzeitig den administrativen Aufwand geringhalten." + } + ] + } + ] + }, + { + "id": "PERS.6", + "title": "Weggang von Mitarbeitenden", + "props": [ + { + "name": "label", + "value": "6" + }, + { + "name": "alt-identifier", + "value": "49a39d78-bee2-4cef-bb4f-c77da99b8467" + } + ], + "controls": [ + { + "id": "PERS.6.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Vorgehensweise für den Weggang", + "props": [ + { + "name": "alt-identifier", + "value": "3ad14c05-a8e1-45de-99bf-c3eecd11f3ae" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Insider Threat, Kompetenzmanagement" + } + ], + "links": [ + { + "href": "#BER.2.5", + "rel": "related" + } + ], + "parts": [ + { + "id": "PERS.6.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Nutzende" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Prozess Personalmanagement" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine Vorgehensweise für den Weggang" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Personal für Nutzende SOLLTE eine Vorgehensweise für den Weggang verankern." + }, + { + "id": "PERS.6.1_gdn", + "name": "guidance", + "prose": "Wenn Nutzende ohne gesteuertes Vorgehen aus dem Informationsverbund ausscheiden, könnten Zugänge oder Aufgaben unkontrolliert zurückgelassen werden, oder Informationen ungewollt an Dritte abfließen. Hierzu gehört z.B. Mitarbeitende an die Wahrung von Betriebs- und Geschäftsgeheimnissen zu erinnern. Außerdem sind von ausscheidenden Mitarbeitenden alle im Rahmen ihrer Tätigkeit erhaltenen Unterlagen, Schlüssel und Geräte sowie Ausweise und Zutrittsberechtigungen einzuziehen. Hierbei besteht ein enger Zusammenhang zum Berechtigungsmanagement." + } + ], + "controls": [ + { + "id": "PERS.6.1.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Entzug von Berechtigungen gemäß BER", + "props": [ + { + "name": "alt-identifier", + "value": "4954a1d6-d1b5-4e95-9d74-a697e6030a14" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + } + ], + "links": [ + { + "href": "#BER.1.1", + "rel": "required" + }, + { + "href": "#BER.5.8", + "rel": "related" + } + ], + "parts": [ + { + "id": "PERS.6.1.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Nutzende" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Prozess Personalmanagement" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "bei Weggang den unverzüglichen Entzug aller Zugriffsrechte" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "im Einklang mit den Regelungen und Verfahren zum Berechtigungs- und Identitätsmanagement" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Personal für Nutzende SOLLTE bei Weggang den unverzüglichen Entzug aller Zugriffsrechte im Einklang mit den Regelungen und Verfahren zum Berechtigungs- und Identitätsmanagement verankern." + }, + { + "id": "PERS.6.1.1_gdn", + "name": "guidance", + "prose": "Der unverzügliche Entzug bedeutet in diesem Kontext die sofortige und vollständige Deaktivierung aller Zugriffsrechte, sowohl auf physische Ressourcen (z. B. Gebäude, Serverräume, Schränke mit vertraulichen Unterlagen) als auch auf logische Systeme (z. B. Benutzerkonten in E-Mail-Diensten, ERP-Systemen, Cloud-Speichern). Physische Zugriffsrechte umfassen Schlüssel, Zugangskarten oder Codes, die eine Person nutzen kann, um in geschützte Bereiche zu gelangen. Logische Zugriffsrechte beziehen sich auf digitale Berechtigungen wie Passwörter, Tokens, VPN-Profile oder Single-Sign-On-Zugänge. Der Sinn dieser Vorgabe liegt darin, das Risiko unbefugter Zugriffe nach dem Ausscheiden von Mitarbeitenden oder externen Nutzenden zu minimieren. Ein entlassener Mitarbeitender könnte ansonsten noch Daten aus einer Cloud-Anwendung kopieren oder mit einer Zutrittskarte ein Rechenzentrum betreten. Werden die Rechte dagegen sofort entzogen, kann die Institution die Vertraulichkeit und Integrität sensibler Informationen sichern und zugleich Haftungsrisiken reduzieren. Eine Institution kann diese Anforderung durch abgestimmte technische und prozessuale Maßnahmen umsetzen. Dazu kann ein standardisierter Offboarding-Prozess etabliert werden, der mit der Personalabteilung synchronisiert ist und automatisch IT und Facility-Management informiert." + } + ] + }, + { + "id": "PERS.6.1.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Neubesetzung", + "props": [ + { + "name": "alt-identifier", + "value": "8c13947a-ea68-496e-8cdb-c5b807739cc2" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + } + ], + "links": [ + { + "href": "#PERS.6.1", + "rel": "required" + } + ], + "parts": [ + { + "id": "PERS.6.1.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Mitarbeitende" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Prozess Personalmanagement" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "bei Weggang frei gewordene Zuständigkeiten" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "zuweisen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Personal für Mitarbeitende SOLLTE bei Weggang frei gewordene Zuständigkeiten zuweisen." + }, + { + "id": "PERS.6.1.2_gdn", + "name": "guidance", + "prose": "Stellen Sie sicher, dass durch den Weggang von Mitarbeitenden keine Aufgaben des ISMS verwaisen – auch nicht bis zu einer geplanten Neueinstellung. Ordnen Sie stattdessen die Zuständigkeit für die Aufgaben/Rollenunverzüglich bestehendem Personal zu. Achten Sie dabei auch darauf, dass die festgelegten Rollentrennungen dabei nicht aufgehoben, bzw. durchbrochen werden. Um eine kontinuierliche Bearbeitung von Aufgaben sicherzustellen, ist eine Übergabe sinnvoll." + } + ] + } + ] + } + ] + } + ] + }, + { + "id": "BES", + "title": "Beschaffungsmanagement", + "props": [ + { + "name": "label", + "value": "BES", + "remarks": "Die Praktik Beschaffungsmanagement sorgt für die frühzeitige Integration von Informationssicherheit in fachliche Anforderungs-, Planungs- und Beschaffungsverfahren, einschließlich angehender Projekte. Dabei erfolgt keine Unterscheidung zwischen den Bereichen Organisation, Personal, Dienstleister, IT-Infrastruktur, Komponenten oder Gebäuden. Ziel ist es, Sicherheitsanforderungen frühzeitig in die strategische Planung einzubinden – von der \"Make-or-Buy\"-Entscheidung bis hin zur konkreten Beschaffung. Während die Praktik Compliance sich explizit auf Anforderungen auf die Informationssicherheit konzentriert, umfasst das Beschaffungsmanagement alle fachlichen, regulatorischen und technischen Anforderungen, die in die Organisation, Personal-, Dienstleisterverträge, IT-Infrastruktur, Komponenten und Gebäude integriert werden müssen." + }, + { + "name": "alt-identifier", + "value": "cf85fe4e-56dc-4942-9564-aa80aa13a626" + } + ], + "groups": [ + { + "id": "BES.1", + "title": "Grundlagen", + "props": [ + { + "name": "label", + "value": "1" + }, + { + "name": "alt-identifier", + "value": "94bfadab-43f6-48d7-ac5e-49b8fbcf2794" + } + ], + "controls": [ + { + "id": "BES.1.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Verfahren und Regelungen", + "props": [ + { + "name": "alt-identifier", + "value": "ee4c5028-8cf8-44b6-b154-ea870db33a13" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "parts": [ + { + "id": "BES.1.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Prozess Beschaffung" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Verfahren und Regelungen zur Beschaffung von IT-Produkten und Dienstleistungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Beschaffungsmanagement MUSS Verfahren und Regelungen zur Beschaffung von IT-Produkten und Dienstleistungen verankern." + }, + { + "id": "BES.1.1_gdn", + "name": "guidance", + "prose": "Relevant sind hierbei sowohl Beschaffungen von Produkten und Dienstleistungen für den internen Betrieb als auch Verträge bei denen Informationen für die Institution extern verarbeitet werden, z.B. Cloud-Dienstleistungen. Die bei der Festlegung des Verfahrens im Einzelnen zu berücksichtigenden Inhalte ergeben sich aus den Anforderungen dieser Praktik." + } + ], + "controls": [ + { + "id": "BES.1.1.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Dokumentation", + "props": [ + { + "name": "alt-identifier", + "value": "8eb5586d-0d76-4ed4-b300-9ca657839eac" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "BES.1.1.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Verfahren und Regelungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Beschaffungsmanagement MUSS die Verfahren und Regelungen dokumentieren." + }, + { + "id": "BES.1.1.1_gdn", + "name": "guidance", + "prose": "Ohne eine Dokumentation könnte die Einhaltung der Verfahren und Regelungen von der Tagesform oder dem individuellen Wissen einzelner Mitarbeiter abhängen, was zu inkonsistenten Entscheidungen und Fehlern führen könnte; insbesondere beim Ausscheiden eines langjährigen Administrators könnte wertvolles prozessuales Wissen verloren gehen. Eine klare Dokumentation sichert die Verbindlichkeit und Wiederholbarkeit und dient als unverzichtbare Grundlage für die Einarbeitung neuer Kollegen, für die Durchführung von Audits und zur einheitlichen Anwendung der Regeln in der gesamten Institution. Die Dokumentation kann in einem eigenständigen Dokument als Richtlinie erfolgen, aber auch als Abschnitt in einem bereits bestehenden Dokument oder über die digital strukturiere Erfassung von Maßnahmen zur Umsetzung der Anforderungen, etwa über eine Software zum Management der Informationssicherheit. Sinnvoll ist es Ort und Struktur der Dokumentation an der jeweiligen Zielgruppe, d.h. den für das Management und die Umsetzung verantwortlichen Personen oder Rollen, auszurichten." + } + ] + }, + { + "id": "BES.1.1.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Zuweisung der Aufgaben", + "params": [ + { + "id": "bes.1.1.2-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "6412af95-f83a-4b0c-ba66-edcecfaafd85" + } + ], + "label": "zuständigen Personen oder Rollen" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "6412af95-f83a-4b0c-ba66-edcecfaafd85" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "BES.1.1.2_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Geschäftsverteilungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die mit den Verfahren und Regelungen verbundenen Aufgaben" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{zuständigen Personen oder Rollen}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "zuweisen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Beschaffungsmanagement MUSS die mit den Verfahren und Regelungen verbundenen Aufgaben {{ insert: param, bes.1.1.2-prm1 }} zuweisen." + }, + { + "id": "BES.1.1.2_gdn", + "name": "guidance", + "prose": "Die Zuweisung von Aufgaben bezeichnet die eindeutige und verbindliche Übertragung von konkreten Tätigkeiten und Verantwortlichkeiten des Änderungsprozesses, wie etwa die Risikobewertung, die technische Umsetzung oder die finale Freigabe, an definierte Stellen in der Institution. Der Sinn dieser Vorschrift ist es, die Verantwortlichkeit (\"Accountability\") für jeden einzelnen Schritt im Prozess klarzustellen. Ohne eine solche Zuweisung könnten kritische Prüfungen unterbleiben, weil sich niemand explizit zuständig fühlt, was wiederum die Wahrscheinlichkeit fehlgeschlagener Änderungen erhöht. Eine klare Regelung kann sicherstellen, dass keine Aufgaben übersehen werden und jede Tätigkeit von einer dafür qualifizierten und befugten Stelle ausgeführt wird, was die Prozesssicherheit signifikant erhöht. Eine bewährte Methode zur Umsetzung ist die Erstellung einer RACI-Matrix (Responsible, Accountable, Consulted, Informed), die tabellarisch für jeden Prozessschritt darstellt, wer für die Durchführung verantwortlich ist, wer die Gesamtverantwortung trägt, wer zu konsultieren und wer zu informieren ist. Diese Zuständigkeiten können auch direkt in einem Workflow- oder Ticketsystem abgebildet werden, sodass Aufgaben, wie beispielsweise Genehmigungsschritte, automatisch an die richtige Gruppe oder Person weitergeleitet werden. Sinnvoll ist es die Zuweisung anhand von Rollen (z.B. \"Anwendungsverantwortlicher\", \"Netzwerkadministrator\", \"Change Manager\") vorzunehmen, statt an konkrete Personen. Dieser Ansatz stellt sicher, dass die Prozesse auch bei Personalwechseln stabil weiterlaufen, da die Zuständigkeit an die Funktion und nicht an das Individuum gebunden ist." + } + ] + }, + { + "id": "BES.1.1.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Bekanntgabe", + "props": [ + { + "name": "alt-identifier", + "value": "d94fc3e4-589a-4395-97e3-fd9152540248" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "BES.1.1.3_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die zuständigen Personen oder Rollen über die Verfahren und Regelungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "informieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Beschaffungsmanagement MUSS die zuständigen Personen oder Rollen über die Verfahren und Regelungen informieren." + }, + { + "id": "BES.1.1.3_gdn", + "name": "guidance", + "prose": "Wenn die Zuständigen die etablierten Verfahren nicht kennen, besteht die Gefahr, dass diese – sei es aus Unwissenheit oder Bequemlichkeit – umgangen werden, was die Schutzwirkung des gesamten Managementsystems untergräbt. So könnte ein neuer Systemadministrator eine weitreichende Konfigurationsänderung vornehmen, ohne den vorgeschriebenen Genehmigungsprozess zu durchlaufen, was zu einem unbemerkten Sicherheitsrisiko führen könnte. Eine gezielte Information kann hingegen die Akzeptanz der Regelungen fördern und sicherstellen, dass alle Beteiligten ihre Rolle im Prozess verstehen und die Abläufe korrekt anwenden. Zur Umsetzung ist es sinnvoll die Dokumentation im Rahmen eines Onboarding-Prozesses bekanntzugeben und bei allen Änderungen eine automatische Benachrichtigung aller zuständigen Personen oder Rollen anzustoßen." + } + ] + } + ] + }, + { + "id": "BES.1.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Regelmäßige Überprüfung", + "params": [ + { + "id": "bes.1.2-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "5a10cf6d-51f6-48cf-8a79-98bab4565b7b" + } + ], + "label": "regelmäßig" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "5a10cf6d-51f6-48cf-8a79-98bab4565b7b" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "BES.1.2_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Übungs- und Prüfplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Verfahren und Regelungen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{regelmäßig}} und anlassbezogen auf Aktualität" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überprüfen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Beschaffungsmanagement MUSS die Verfahren und Regelungen {{ insert: param, bes.1.2-prm1 }} und anlassbezogen auf Aktualität überprüfen." + }, + { + "id": "BES.1.2_gdn", + "name": "guidance", + "prose": "Eine geplante Überprüfung der etablierten Verfahren und Regelungen dient dazu festzustellen, ob diese noch wirksam, effizient und an die aktuellen Gegebenheiten angepasst sind. Eine anlassbezogene Überprüfung wird durch spezifische Ereignisse ausgelöst, wie etwa einen schwerwiegenden Sicherheitsvorfall, eine strategische Neuausrichtung der IT oder neue gesetzliche Anforderungen. Der Zweck dieser Anforderung ist es, die kontinuierliche Verbesserung und Anpassungsfähigkeit des Prozesses sicherzustellen, da veraltete Regelungen neuen technologischen Entwicklungen oder Bedrohungen nicht mehr gerecht werden könnten; ein vor Jahren für monolithische Anwendungen konzipierter Prozess ist beispielsweise für agile Entwicklungsmethoden oder Microservice-Architekturen ungeeignet. Die regelmäßige Überprüfung kann die Effektivität des Sicherheitsmanagements langfristig aufrechterhalten und die Resilienz der Institution stärken." + } + ] + }, + { + "id": "BES.1.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Lieferanten- und Dienstleisterverzeichnis", + "props": [ + { + "name": "alt-identifier", + "value": "d02f25dc-07c0-4470-a43d-31d34bcf5af4" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "parts": [ + { + "id": "BES.1.3_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Einkäufe" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Liste der Hersteller und Dienstleister" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "alle direkten Zulieferer und Dienstleister" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "inklusive der jeweiligen Kontaktdaten und den bezogenen Lieferungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Beschaffungsmanagement für Einkäufe SOLLTE alle direkten Zulieferer und Dienstleister inklusive der jeweiligen Kontaktdaten und den bezogenen Lieferungen dokumentieren." + }, + { + "id": "BES.1.3_gdn", + "name": "guidance", + "prose": "Direkte Zulieferer sind hier alle Vertragspartner, von denen IT-Produkte bezogen werden. Dienstleister sind alle Vertragspartner, die schützenswerte Informationen des Informationsverbundes verarbeiten." + } + ], + "controls": [ + { + "id": "BES.1.3.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Gesamte Lieferkette", + "props": [ + { + "name": "alt-identifier", + "value": "4aa61c74-cb3e-42ee-8217-ed9cabe74c3b" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "parts": [ + { + "id": "BES.1.3.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Einkäufe" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Liste der Hersteller und Dienstleister" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die gesamte Lieferkette" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "inklusive der jeweiligen Unterauftragnehmer und deren Kontaktdaten" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Beschaffungsmanagement für Einkäufe KANN die gesamte Lieferkette inklusive der jeweiligen Unterauftragnehmer und deren Kontaktdaten dokumentieren." + }, + { + "id": "BES.1.3.1_gdn", + "name": "guidance", + "prose": "Sicherheitsvorfälle können nicht nur auf direkter Ebene entstehen, sondern werden häufig durch nachgelagerte Dienstleister oder Unterlieferanten verursacht – etwa wenn ein Unterauftragnehmer unzureichende Sicherheitsmaßnahmen umsetzt, kritische Softwarekomponenten fehlerhaft bezieht oder sensible Daten bei einem Subdienstleister unkontrolliert verarbeitet werden. Ein solches Ereignis könnte sich durch Lieferausfälle, den Einschleusung kompromittierter Hard- oder Software oder auch durch den Verlust von Betriebsgeheimnissen bemerkbar machen. Nur wenn eine Institution die gesamte Kette kennt, kann sie Schwachstellen lückenlos erkennen, Abhängigkeiten bewerten und im Bedarfsfall schneller reagieren, etwa indem bei Störungen alternative Bezugsquellen aktiviert werden. Die (ja fortlaufend zu gewährleistende) Dokumentation der gesamten Lieferkette ist allerdings auch mit großem Aufwand verbunden und setzt auch die Bereitschaft zur Mitwirkung in der gesamten Lieferkette voraus." + } + ] + } + ] + }, + { + "id": "BES.1.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Outsourcing-Strategie", + "props": [ + { + "name": "alt-identifier", + "value": "302952ea-72e1-4104-9cbb-678717a267db" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten, Shared Responsibility Model" + } + ], + "parts": [ + { + "id": "BES.1.4_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Outsourcing" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Outsourcing Strategie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine Strategie" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "mit Zielen, Chancen und Risiken des Outsourcings" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Beschaffungsmanagement für Outsourcing KANN eine Strategie mit Zielen, Chancen und Risiken des Outsourcings verankern." + }, + { + "id": "BES.1.4_gdn", + "name": "guidance", + "prose": "Outsourcing-Strategie bezeichnet hierbei die von der Institution festgelegten Grundsätze, Entscheidungskriterien und Grenzen für die Auslagerung von Leistungen. Die Strategie beinhaltet z.B. die Entscheidung über die Art und den Scope des Outsourcings und welche Arten von Anwendungen/Daten oder Prozessen ausgelagert werden. Bei einem Outsourcing in die Cloud wäre hier z.B. über \"cloud only, cloud first, some cloud, no cloud\" und bei der Bereitstellungsart über \"Saas, PaaS, IaaS\" etc. zu entscheiden. Typische Risiken sind versteckte Kosten, unklare Zuständigkeiten (\"Verantwortungsdiffusion\") durch gemeinsame Verantwortlichkeit mit dem Dienstleister für die Informationssicherheit (Shared Responsibility), Verlust von eigenem Knowhow, Abhängigkeit vom Anbietenden von Outsourcing, Verlust von Kontroll- und Steuerungsmöglichkeiten, Einblicke Dritter in interne Betriebsabläufe und Daten. Ziele beinhalten unter anderem auch die angestrebten Sicherheitsziele, z.B. \"bei Bearbeitung von VS-NfD Inhalten die Einhaltung der VSA\". Chancen können z.B. in einer schnelleren Einführung neuer Technologien, einer höheren Flexibilität bei Lastspitzen, einer verbesserten Verfügbarkeit durch die Infrastruktur des Dienstleisters oder in Kostenersparnissen durch Skaleneffekte liegen. Im Cloud-Kontext ergeben sich zudem Möglichkeiten wie eine weltweite Standortunabhängigkeit, einfachere Anbindung verteilter Teams oder die Nutzung spezialisierter Sicherheits- und Compliance-Services, die intern nur mit erheblichem Aufwand aufgebaut werden könnten." + } + ], + "controls": [ + { + "id": "BES.1.4.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Freigabe der Strategie", + "props": [ + { + "name": "alt-identifier", + "value": "235c1c4a-c202-4d06-8391-254cac868ec2" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "parts": [ + { + "id": "BES.1.4.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Outsourcing" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Outsourcing Strategie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Strategie" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "durch die Institutionsleitung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "autorisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Beschaffungsmanagement für Outsourcing SOLLTE die Strategie durch die Institutionsleitung autorisieren." + }, + { + "id": "BES.1.4.1_gdn", + "name": "guidance", + "prose": "Ziel ist es sicherzustellen, dass Auslagerungen dem Risikoverständnis, den gesetzlichen Rahmenbedingungen und den geschäftlichen Zielen entsprechen und Verantwortlichkeiten eindeutig verankert sind. Fehlende oder uneinheitliche Leitentscheidungen könnten zu Schattenbeschaffungen, regulatorischen Beanstandungen, Konzentrationsrisiken oder unkontrollierten Datenabflüssen führen; etwa könnte ein Fachbereich ohne strategischen Rahmen einen Dienst in einer problematischen Jurisdiktion beauftragen oder mehrere kritische Leistungen bei einem einzigen Anbieter bündeln, was bei dessen Ausfall zu erheblichen Betriebsunterbrechungen führen könnte." + } + ] + } + ] + }, + { + "id": "BES.1.5", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Autorisierung des Bereitstellungsmodells", + "params": [ + { + "id": "bes.1.5-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "6d50b322-84b8-4c9b-bd2a-0b48d6b61847" + } + ], + "label": "eine zuständige Person oder Rolle" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "6d50b322-84b8-4c9b-bd2a-0b48d6b61847" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten, Shared Responsibility Model" + } + ], + "parts": [ + { + "id": "BES.1.5_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Cloud-Dienste" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Beschaffungskriterien" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "für jeden Cloud-Dienst das Bereitstellungsmodell" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "durch {{eine zuständige Person oder Rolle}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "autorisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Beschaffungsmanagement für Cloud-Dienste SOLLTE für jeden Cloud-Dienst das Bereitstellungsmodell durch {{ insert: param, bes.1.5-prm1 }} autorisieren." + }, + { + "id": "BES.1.5_gdn", + "name": "guidance", + "prose": "Hiermit ist die bewusste Entscheidung für ein Modell und die konzeptionelle Umsetzung (\"Shared Responsibility\") dieser Entscheidung gemeint. Bereitstellungsmodelle sind z.B.: Public Cloud, Private Cloud, Community Cloud, Hybrid Cloud. Es kann in der Praxis aber zu dadurch nicht abgedeckten Varianten, wie z. B. \"Virtual Private Cloud\" kommen. Die Anforderung ist erst dann umgesetzt, wenn auch zwischen den Vertragspartnern das Bereitstellungsmodell explizit vereinbart ist, so dass die Verteilung der Verantwortlichkeiten (Shared Responsibility) für Schutzmaßnahmen zwischen Institution und Dienstleister klar geregelt ist." + } + ] + }, + { + "id": "BES.1.6", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Dokumentation des Bereitstellungsmodells", + "props": [ + { + "name": "alt-identifier", + "value": "43e11ef1-4161-444d-ba0d-0fed61d31dd8" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten, Shared Responsibility Model" + } + ], + "parts": [ + { + "id": "BES.1.6_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Cloud-Dienste" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Beschaffungskriterien" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "für jeden Cloud-Dienst das gewünschte Bereitstellungsmodell" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "mit Ausführung der geteilten Verantwortlichkeiten" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Beschaffungsmanagement für Cloud-Dienste SOLLTE für jeden Cloud-Dienst das gewünschte Bereitstellungsmodell mit Ausführung der geteilten Verantwortlichkeiten dokumentieren." + }, + { + "id": "BES.1.6_gdn", + "name": "guidance", + "prose": "Hiermit ist die bewusste Entscheidung für ein Modell und die konzeptionelle Umsetzung (\"Shared Responsibility\") dieser Entscheidung gemeint. Bereitstellungsmodelle sind z.B.: Public Cloud, Private Cloud, Community Cloud, Hybrid Cloud. Es kann in der Praxis aber zu dadurch nicht abgedeckten Varianten, wie z. B. \"Virtual Private Cloud\" kommen." + } + ] + }, + { + "id": "BES.1.7", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Vereinbarung der geteilten Verantwortung", + "props": [ + { + "name": "alt-identifier", + "value": "6cc29c32-b75a-4a6f-b260-1e5038f37866" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten, Shared Responsibility Model" + } + ], + "links": [ + { + "href": "#BES.1.5", + "rel": "required" + } + ], + "parts": [ + { + "id": "BES.1.7_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Cloud-Dienste" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Beschaffungskriterien" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "für jeden Cloud-Dienst mit dem Anbieter die geteilte Verantwortung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "vereinbaren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Beschaffungsmanagement für Cloud-Dienste SOLLTE für jeden Cloud-Dienst mit dem Anbieter die geteilte Verantwortung vereinbaren." + }, + { + "id": "BES.1.7_gdn", + "name": "guidance", + "prose": "Die Anforderung ist erst dann umgesetzt, wenn auch zwischen den Vertragspartnern das Bereitstellungsmodell explizit vereinbart ist, so dass die Verteilung der Verantwortlichkeiten (Shared Responsibility) für Schutzmaßnahmen zwischen Institution und Dienstleister klar geregelt ist." + } + ] + } + ] + }, + { + "id": "BES.2", + "title": "Bedarfserfassung", + "props": [ + { + "name": "label", + "value": "2" + }, + { + "name": "alt-identifier", + "value": "47a13147-f7c8-47cf-ab97-1ba09b52a759" + } + ], + "controls": [ + { + "id": "BES.2.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Erfassung des Bedarfes", + "props": [ + { + "name": "alt-identifier", + "value": "0c2aa136-750b-4213-aa8a-1911537934e6" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "parts": [ + { + "id": "BES.2.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Einkäufe" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Beschaffungskriterien" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "den Bedarf" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "anhand einer Leistungsbeschreibung oder einer Umsetzungsstrategie" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Beschaffungsmanagement für Einkäufe SOLLTE den Bedarf anhand einer Leistungsbeschreibung oder einer Umsetzungsstrategie dokumentieren." + }, + { + "id": "BES.2.1_gdn", + "name": "guidance", + "prose": "Dies umfasst sowohl Bedürfnisse für eine sichere Funktionalität als auch nicht-funktionalen Bedarf wie Datensicherung und Einbindung in das Monitoring." + } + ], + "controls": [ + { + "id": "BES.2.1.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Verwendungszweck", + "props": [ + { + "name": "alt-identifier", + "value": "419911b0-2fc0-4f2c-898d-062b9466c35d" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "parts": [ + { + "id": "BES.2.1.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Produkte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Beschaffungskriterien" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "den Verwendungszweck" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Beschaffungsmanagement für IT-Produkte SOLLTE den Verwendungszweck dokumentieren." + }, + { + "id": "BES.2.1.1_gdn", + "name": "guidance", + "prose": "Relevant kann hierbei beispielsweise sein, ob es verschiedene Einsatzszenarien (z.B. Innen- und Außendienst) gibt." + } + ] + }, + { + "id": "BES.2.1.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Geschäftsprozessprofile", + "props": [ + { + "name": "alt-identifier", + "value": "cf24172d-d505-4960-b580-ccea153e1abe" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "parts": [ + { + "id": "BES.2.1.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Outsourcing" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Geschäftsprozesse" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Geschäftsprozessprofile für (Teil-)Prozesse, die ausgelagert werden," + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "mit Funktion, verarbeiteten Informationen, einzuhaltenden rechtlichen und organisatorischen Rahmenbedingungen, prozessualen Schnittstellen, Abhängigkeiten zwischen Prozessen, sowie ihren Schutzbedarfen und Kritikalitäten" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Beschaffungsmanagement für Outsourcing KANN Geschäftsprozessprofile für (Teil-)Prozesse, die ausgelagert werden, mit Funktion, verarbeiteten Informationen, einzuhaltenden rechtlichen und organisatorischen Rahmenbedingungen, prozessualen Schnittstellen, Abhängigkeiten zwischen Prozessen, sowie ihren Schutzbedarfen und Kritikalitäten dokumentieren." + }, + { + "id": "BES.2.1.2_gdn", + "name": "guidance", + "prose": "Ist bereits eine Business-Impact-Analyse (BIA) vorhanden, welche die Angaben enthält, so kann die Anforderung durch die BIA erfüllt werden. Kritikalität bezeichnet die Bedeutung eines Prozesses für den Geschäftsbetrieb der Institution. Die Umsetzung kann auch durch eine Tabelle von Geschäftsprozessprofilen geschehen." + } + ] + }, + { + "id": "BES.2.1.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Systemvoraussetzungen", + "props": [ + { + "name": "alt-identifier", + "value": "84f323b8-6090-4c5c-9ca4-48869567d624" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "parts": [ + { + "id": "BES.2.1.3_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Produkte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Beschaffungskriterien" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Systemvoraussetzungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Beschaffungsmanagement für IT-Produkte SOLLTE Systemvoraussetzungen dokumentieren." + }, + { + "id": "BES.2.1.3_gdn", + "name": "guidance", + "prose": "Hierzu können sowohl Hardwareparameter gehören (z.B. 8 GB RAM, TPM 2.0), als auch Voraussetzungen an Betriebssysteme (z.B. Lauffähigkeit nur auf bestimmten Betriebssystemen oder bei Unterstützung bestimmter Funktionen), auf denen der Einsatz geplant ist." + } + ] + }, + { + "id": "BES.2.1.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Kompatibilität", + "props": [ + { + "name": "alt-identifier", + "value": "4625c5ac-57d7-404c-9ab3-620b724b36b8" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "parts": [ + { + "id": "BES.2.1.4_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Einkäufe" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Beschaffungskriterien" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "den Bedarf für die Kompatibilität mit der bestehenden Infrastruktur" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Beschaffungsmanagement für Einkäufe SOLLTE den Bedarf für die Kompatibilität mit der bestehenden Infrastruktur dokumentieren." + }, + { + "id": "BES.2.1.4_gdn", + "name": "guidance", + "prose": "Werden Beschaffungen ohne Betrachtung der Kompatibilität zur angebundenen Infrastruktur vorgenommen, kann es zu unvorhergesehenen Wechselwirkungen zwischen Komponenten kommen. Durch die steigende Komplexität von Infrastrukturen wächst auch das Risiko solcher Inkompatibilitäten oder Fehlerbilder. Zur relevanten Infrastruktur können je nach Einsatzzweck z.B. der Verzeichnisdienst, die Protokollierung von Ereignissen, das Monitoring oder der Datenspeicher gehören. Soweit möglich, ist es sinnvoll, zur Anbindung anerkannte Standards zu nutzen, z.B. REST-API und HTTPS für die Schnittstellen, TCP/IP und Ethernet (IEEE 802.3) für die Netzanbindung, SSH für die Administration,sowie SQL oder JSON für das Datenmanagement." + } + ], + "controls": [ + { + "id": "BES.2.1.4.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Kompatibilität der Schnittstellen", + "props": [ + { + "name": "alt-identifier", + "value": "c6743b13-6c1b-4706-94ba-c185e4839d35" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "parts": [ + { + "id": "BES.2.1.4.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Einkäufe" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Beschaffungskriterien" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "den Bedarf für die Kompatibilität" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "im Hinblick auf Schnittstellen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Beschaffungsmanagement für Einkäufe SOLLTE den Bedarf für die Kompatibilität im Hinblick auf Schnittstellen dokumentieren." + }, + { + "id": "BES.2.1.4.1_gdn", + "name": "guidance", + "prose": "Kompatibilität im Hinblick auf Schnittstellen meint die Fähigkeit eines zu beschaffenden IT-Systems, einer Anwendung oder Komponente, mit bestehenden oder vorgesehenen IT- und OT-Umgebungen interoperabel zu sein; hierzu zählen technische Schnittstellen wie APIs (Application Programming Interfaces), Protokolle, Authentifizierungsmechanismen sowie physische oder virtuelle Netzanschlüsse. Eine Schnittstelle ist dabei jede definierte Übergabestelle, an der Daten, Signale oder Steuerinformationen zwischen Systemen ausgetauscht werden, einschließlich logischer (z. B. Webservices, REST, SOAP), datenbezogener (z. B. XML, JSON, CSV, authentifizierender (z.B. SAML oder OAuth 2.0) und infrastruktureller Anbindungen (z. B. VPN, TLS-gesicherte Verbindungen). Die Dokumentation des Bedarfs umfasst eine nachvollziehbare Beschreibung, welche bestehenden Infrastrukturen angebunden werden, welche Kommunikationsprotokolle und Sicherheitsmechanismen unterstützt werden und welche Abhängigkeiten oder Einschränkungen bestehen. Die Regelung zielt darauf ab, Integrationsrisiken frühzeitig zu erkennen und Fehlbeschaffungen zu vermeiden; ohne dokumentierten Kompatibilitätsbedarf könnte es zu Medienbrüchen, unsicheren Ad-hoc-Anbindungen oder kostenintensiven Nachrüstungen kommen, wodurch Sicherheitslücken entstehen könnten. Eine systematische Erfassung der Schnittstellenanforderungen kann hingegen sicherstellen, dass nur Lösungen ausgewählt werden, die sich kontrolliert und sicher in die bestehende Architektur einfügen lassen." + } + ] + }, + { + "id": "BES.2.1.4.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Kompatibilität der Netzanbindung", + "props": [ + { + "name": "alt-identifier", + "value": "004ebc71-2ee1-4b26-993e-9bc3f5088bfc" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "parts": [ + { + "id": "BES.2.1.4.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Einkäufe" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Beschaffungskriterien" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "den Bedarf für die Kompatibilität" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "im Hinblick auf die Netzanbindung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Beschaffungsmanagement für Einkäufe SOLLTE den Bedarf für die Kompatibilität im Hinblick auf die Netzanbindung dokumentieren." + }, + { + "id": "BES.2.1.4.2_gdn", + "name": "guidance", + "prose": "Kompatibilität im Hinblick auf die Netzanbindung ist hier die technische und logische Anschlussfähigkeit einer zu beschaffenden Komponente an die bestehende Netzwerkinfrastruktur der Institution zu verstehen, einschließlich physischer Schnittstellen (z.B. Ethernet, Glasfaser), unterstützter Übertragungsprotokolle (z.B. TCP/IP, HTTP, TLS), Authentisierungs- und Autorisierungsverfahren (z.B. IEEE 802.1X, RADIUS), Adressierungskonzepte (IPv4/IPv6, erforderlicher Netzbandbreite und Laufzeiten, sowie Segmentierungs- und Sicherheitsarchitekturen (z.B. VLAN, Network Access Control – NAC). Netzanbindung meint dabei jede Form der Integration in interne Netze, Perimeternetze oder dedizierte Verbindungen zu externen Netzen, einschließlich drahtloser Anbindungen (WLAN) oder standortübergreifender Kopplungen (WAN). Der dokumentierte Bedarf beschreibt die konkret erforderlichen technischen, sicherheitsrelevanten und betrieblichen Eigenschaften der Netzschnittstelle, sodass bereits im Beschaffungsprozess transparent wird, welche Integrationsvoraussetzungen notwendig sind und welche Abweichungen nicht akzeptabel sind. Die Dokumentation dieses Bedarfs kann verhindern, dass Lösungen beschafft werden, die sich nur mit unsicheren Protokollen anbinden lassen oder bestehende Segmentierungs- und Schutzmechanismen umgehen, was zu ungewollten Netzöffnungen, erhöhten Angriffsflächen oder Integrationsproblemen führen könnte. Sie kann zudem Transparenz schaffen, sodass spätere Notlösungen wie unkontrollierte Gateways oder Protokollkonverter vermieden werden, die zusätzliche Schwachstellen einführen könnten." + } + ] + }, + { + "id": "BES.2.1.4.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Kompatibilität des Administrationsmodells", + "props": [ + { + "name": "alt-identifier", + "value": "962e52b2-54ab-4c5d-842d-fb3c3132e986" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "parts": [ + { + "id": "BES.2.1.4.3_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Einkäufe" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Beschaffungskriterien" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "den Bedarf für die Kompatibilität" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "im Hinblick auf das Administrationsmodell" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Beschaffungsmanagement für Einkäufe SOLLTE den Bedarf für die Kompatibilität im Hinblick auf das Administrationsmodell dokumentieren." + }, + { + "id": "BES.2.1.4.3_gdn", + "name": "guidance", + "prose": "Unter „Kompatibilität im Hinblick auf das Administrationsmodell“ ist hier die technische und organisatorische Anschlussfähigkeit einer zu beschaffenden Lösung an das bestehende Berechtigungs- und Rollenmodell der Institution zu verstehen, also an die Struktur von Benutzerkonten, Rollen, Gruppen, Verantwortlichkeiten und administrativen Zuständigkeiten (z.B. Role-Based Access Control – RBAC, Attribute-Based Access Control – ABAC, Privileged Access Management – PAM). Das Administrationsmodell beschreibt dabei, wie Identitäten angelegt, geändert und gelöscht werden (Identity Lifecycle), wie Rechte vergeben und überprüft werden (Access Governance) und wie administrative Tätigkeiten nachvollziehbar protokolliert werden (Logging, Audit Trail). Die Dokumentation des Bedarfs für diese Kompatibilität bedeutet, dass im Beschaffungsprozess transparent festgehalten wird, welche Integrationsanforderungen bestehen, etwa hinsichtlich zentraler Verzeichnisdienste (z.B. LDAP, Active Directory), Single Sign-On (SSO), Multi-Faktor-Authentisierung (MFA), Mandantenfähigkeit oder der Trennung von administrativen und fachlichen Rollen. Der Zweck dieser Vorgabe liegt darin, Inkonsistenzen und Medienbrüche im Identitäts- und Berechtigungsmanagement zu vermeiden, da eine nicht kompatible Lösung zu Schattenadministration, doppelten Benutzerkonten oder unzureichender Trennung von Aufgaben führen könnte und dadurch unautorisierte Zugriffe oder fehlende Nachvollziehbarkeit begünstigt werden könnten. Eine frühzeitige und strukturierte Festlegung der Kompatibilitätsanforderungen kann hingegen eine einheitliche Durchsetzung von Sicherheitsrichtlinien, eine zentrale Steuerung privilegierter Konten und eine revisionssichere Protokollierung administrativer Handlungen unterstützen. die Unterstützung sowie (3) die technische Möglichkeit zur rollenbasierten Delegation administrativer Rechte innerhalb der Anwendung umfassen." + } + ] + }, + { + "id": "BES.2.1.4.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Kompatibilität des Datenmanagementmodells", + "props": [ + { + "name": "alt-identifier", + "value": "f285248f-ba16-4748-80ac-a613dc09e448" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "parts": [ + { + "id": "BES.2.1.4.4_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Einkäufe" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Beschaffungskriterien" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "den Bedarf für die Kompatibilität" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "im Hinblick auf das Datenmanagementmodell" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Beschaffungsmanagement für Einkäufe SOLLTE den Bedarf für die Kompatibilität im Hinblick auf das Datenmanagementmodell dokumentieren." + }, + { + "id": "BES.2.1.4.4_gdn", + "name": "guidance", + "prose": "Unter „Kompatibilität im Hinblick auf das Datenmanagementmodell“ ist im Kontext dieser Anforderung die fachliche und technische Übereinstimmung beschaffter Produkte oder Dienstleistungen mit den in der Institution etablierten Regeln zur Strukturierung, Klassifizierung, Speicherung und Verarbeitung von Daten zu verstehen. Das Datenmanagementmodell beschreibt dabei unter anderem Datenkategorien (z.B. „confidentiality level“), Metadatenstrukturen, Datenformate, Lebenszyklusregeln („data lifecycle management“) sowie Integrationsvorgaben für Schnittstellen und Austauschformate. Kompatibilität meint hier insbesondere, dass neue IT-Systeme oder Anwendungen die definierten Datenformate, Klassifizierungsmerkmale, Aufbewahrungs- und Löschregeln sowie Anforderungen an Datenlokation („data residency“) technisch unterstützen oder abbilden können, ohne dass Medienbrüche, manuelle Nacharbeiten oder unkontrollierte Parallelstrukturen entstehen. Die Dokumentation dieses Bedarfs kann dazu beitragen, dass bei Beschaffungen von Anfang an Transparenz über notwendige Integrations- und Datenanforderungen entsteht und spätere kostenintensive Anpassungen vermieden werden. Ohne eine solche Berücksichtigung könnte es zu inkonsistenten Datenbeständen, fehlender Durchgängigkeit von Klassifizierungen oder zu unzulässigen Datenübertragungen in nicht vorgesehene Speicherorte kommen, was Integritäts- und Verfügbarkeitsrisiken erhöht. Eine frühzeitige Festlegung kann hingegen eine konsistente Datenarchitektur und nachvollziehbare Datenflüsse unterstützen." + } + ] + } + ] + }, + { + "id": "BES.2.1.5", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Lizenzierung", + "props": [ + { + "name": "alt-identifier", + "value": "44fc68cb-5ee8-44aa-83ff-be56342c99dc" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "parts": [ + { + "id": "BES.2.1.5_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Produkte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Beschaffungskriterien" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "für den geplanten Einsatzzeitraum erforderliche Lizenzen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Beschaffungsmanagement für IT-Produkte SOLLTE für den geplanten Einsatzzeitraum erforderliche Lizenzen dokumentieren." + }, + { + "id": "BES.2.1.5_gdn", + "name": "guidance", + "prose": "Lizenzen sind erforderlich, wenn sie für den Einsatz des geplanten IT-Produktes benötigt werden. Hierbei können sowohl Softwarelizenzen selbst als auch begleitende Lizenzen, z.B. für Protokollierungssysteme oder Cloud-Schnittstellen gehören. Die Lizenzierung ist ausreichend, wenn voraussichtlich für alle anfallenden Arbeiten genug Zugänge und aktivierte IT-Produkte über den geplanten Einsatzzeittraum verfügbar sind. Denken Sie auch daran, welche Funktionen unter welcher Lizenz vom Anbieter freigeschaltet und erlaubt sind." + } + ] + }, + { + "id": "BES.2.1.6", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Support- und Wartungsverträge", + "props": [ + { + "name": "alt-identifier", + "value": "0cdd35ea-188d-4731-99e3-27b5dbe8eca6" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "parts": [ + { + "id": "BES.2.1.6_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Produkte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Beschaffungskriterien" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "den Bedarf an Support- und Wartungsverträgen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "basierend auf dem Schutzbedarf für Verfügbarkeit" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Beschaffungsmanagement für IT-Produkte SOLLTE den Bedarf an Support- und Wartungsverträgen basierend auf dem Schutzbedarf für Verfügbarkeit dokumentieren." + }, + { + "id": "BES.2.1.6_gdn", + "name": "guidance", + "prose": "Dies zielt auf den Abschluss von Support- und Wartungsverträgen für alle IT-Produkte ab, deren Verfügbarkeit nicht durch die Institution allein sichergestellt werden kann. Zur Ermittlung des Bedarfes können die Empfehlungen des jeweiligen Anbieters zu Wartungsintervallen herangezogen werden. Dabei kann es vorkommen, dass unterschiedliche Komponenten durchaus unterschiedliche Wartungsintervalle benötigen." + } + ] + } + ] + }, + { + "id": "BES.2.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Dokumentation des Rechtsraums und der Datenlokation", + "props": [ + { + "name": "alt-identifier", + "value": "d4001ad1-3cac-4b4c-b075-dae3a8678a65" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "links": [ + { + "href": "#BES.2.1.2", + "rel": "required" + }, + { + "href": "#BES.5.5.1", + "rel": "related" + }, + { + "href": "#ASST.3.10", + "rel": "related" + } + ], + "parts": [ + { + "id": "BES.2.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Cloud-Dienste" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Geschäftsprozesse" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Rechtsraum und Datenlokation" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Beschaffungsmanagement für Cloud-Dienste SOLLTE Rechtsraum und Datenlokation dokumentieren." + }, + { + "id": "BES.2.2_gdn", + "name": "guidance", + "prose": "Beispielsweise könnte die Datenlokation auf europäische Standorte eingeschränkt sein, während der Anbieter seinen Hauptsitz im außereuropäischen Rechtsraum hat und daher nicht der DSGVO unterliegt. Werden keine Daten aus dem Informationsverbund verarbeitet, so ist die Anforderung entbehrlich." + } + ] + }, + { + "id": "BES.2.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Vereinbarung des Rechtsraums und der Datenlokation", + "props": [ + { + "name": "alt-identifier", + "value": "00330bf7-9ed8-4606-bf6c-2657e7c47c61" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "links": [ + { + "href": "#BES.2.2", + "rel": "related" + } + ], + "parts": [ + { + "id": "BES.2.3_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Cloud-Dienste" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Beschaffungskriterien" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Rechtsraum und Datenlokation mit dem Anbieter" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "vereinbaren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Beschaffungsmanagement für Cloud-Dienste KANN Rechtsraum und Datenlokation mit dem Anbieter vereinbaren." + }, + { + "id": "BES.2.3_gdn", + "name": "guidance", + "prose": "Beispielsweise könnte die Datenlokation auf europäische Standorte eingeschränkt sein, während der Anbieter seinen Hauptsitz im außereuropäischen Rechtsraum hat und daher nicht der DSGVO unterliegt. Werden keine Daten aus dem Informationsverbund verarbeitet, so ist die Anforderung entbehrlich." + } + ] + }, + { + "id": "BES.2.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Anhörung Nutzender", + "props": [ + { + "name": "alt-identifier", + "value": "d61dea6e-ac0f-42a9-8801-857fed920d50" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "parts": [ + { + "id": "BES.2.4_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Einkäufe" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Prozess Beschaffung" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Nutzende" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "bei der Bedarfserfassung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "anhören" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Beschaffungsmanagement für Einkäufe SOLLTE Nutzende bei der Bedarfserfassung anhören." + }, + { + "id": "BES.2.4_gdn", + "name": "guidance", + "prose": "Werden IT-Produkte oder Dienstleistungen für eine Zielgruppe beschafft, so ist es zweckmäßig, Vertreter dieser Zielgruppe in die Erhebung der Beschaffungskriterien mit einzubeziehen. Dies kann durch die Anhörung aller potenziellen Nutzer, z.B. durch eine Umfrage, oder durch die Anhörung bestimmter Personen oder Rollen aus dem Kreis der Nutzenden (z.B. Fachverantwortliche, Testgruppen oder Stichproben) erfolgen." + } + ] + }, + { + "id": "BES.2.5", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Anhörung Adminstrierender", + "props": [ + { + "name": "alt-identifier", + "value": "64a8bc51-2358-41c0-820d-d306f71d13ad" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "parts": [ + { + "id": "BES.2.5_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Einkäufe" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Prozess Beschaffung" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Administrierende" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "bei der Bedarfserfassung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "anhören" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Beschaffungsmanagement für Einkäufe SOLLTE Administrierende bei der Bedarfserfassung anhören." + }, + { + "id": "BES.2.5_gdn", + "name": "guidance", + "prose": "Ohne diese Einbindung könnte etwa eine Fachabteilung Systeme einkaufen, die keine sicheren Schnittstellen bieten, nicht mit bestehenden Sicherheitsrichtlinien kompatibel sind oder schwer zu administrieren sind, was später zu kostspieligen Nacharbeiten oder Sicherheitslücken führen könnte. Eine rechtzeitige Beteiligung kann hingegen gewährleisten, dass Produkte aus administrativer Sicht wartbar, updatefähig und kompatibel mit etablierten Sicherheitsmechanismen sind. Die Anforderung kann durch verschiedene Maßnahmen praktisch umgesetzt werden: (1) Ein definiertes Beschaffungsformular kann Eingabefelder enthalten, in denen die fachliche Einschätzung von Administrierenden dokumentiert werden kann. (2) Eine Checkliste mit Mindestkriterien wie Updatefähigkeit, Protokollierungsoptionen oder Berechtigungssteuerung kann bei jeder Bedarfserfassung hinzugezogen werden. (3) Ein kurzer, standardisierter Freigabeprozess über ein Ticket- oder Workflow-System kann sicherstellen, dass vor der endgültigen Beschaffung eine Rückmeldung aus administrativer Sicht eingeholt wird. (4) Zur Effizienzsteigerung kann eine Wissensdatenbank mit Erfahrungswerten zu bereits genutzten Produkten gepflegt werden, sodass Administrierende wiederkehrende Anforderungen schneller einschätzen können." + } + ] + }, + { + "id": "BES.2.6", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Outsourcing auf Grundlage der Geschäftsprozessprofile", + "props": [ + { + "name": "alt-identifier", + "value": "5b865e92-14ed-47a0-ae5f-219e5ef7b09b" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "links": [ + { + "href": "#BES.2.1.2", + "rel": "required" + } + ], + "parts": [ + { + "id": "BES.2.6_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Outsourcing" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Geschäftsprozesse" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Outsourcingverträge auf Grundlage der Geschäftsprozessprofile" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "durch die Leitung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "autorisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Beschaffungsmanagement für Outsourcing KANN Outsourcingverträge auf Grundlage der Geschäftsprozessprofile durch die Leitung autorisieren." + }, + { + "id": "BES.2.6_gdn", + "name": "guidance", + "prose": "Das Outsourcing eigener (Teil-)Prozesse ist eine bewusste und häufig folgenreiche Entscheidung - auch für die die eigene Kontrolle der Informationssicherheit. Die Entscheidung kann sich am festgestellten Schutzbedarf oder Risikoprofil der Institution und der betroffenen Geschäftsprozesse orientieren. Die Entscheidung durch die Leitung bezieht sich hier auf die Frage, ob Outsourcing von der Institution grundsätzlich gewollt ist und welche (Teil-)Prozesse ausgelagert werden können oder in der Institution verbleiben. Diese kann konkrete Geschäftsprozesse benennen, aber auch anhand allgemeiner Kriterien getroffen werden (z.B. Keine Auslagerung von Geschäftsprozessen mit hohem Schutzbedarf)." + } + ] + } + ] + }, + { + "id": "BES.3", + "title": "Auswahl von Lieferanten", + "props": [ + { + "name": "label", + "value": "3" + }, + { + "name": "alt-identifier", + "value": "340195f1-302e-4d8c-bcc5-0975d676d8e7" + } + ], + "controls": [ + { + "id": "BES.3.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Klassifizierung von Lieferantenbeziehungen", + "props": [ + { + "name": "alt-identifier", + "value": "5d268fc9-f0f7-4d5d-ade2-68b6910070db" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "parts": [ + { + "id": "BES.3.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Einkäufe" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Prozess Beschaffung" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Lieferantenbeziehungen einer Klasse" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "zuweisen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Beschaffungsmanagement für Einkäufe SOLLTE Lieferantenbeziehungen einer Klasse zuweisen." + }, + { + "id": "BES.3.1_gdn", + "name": "guidance", + "prose": "Klasse meint hier eine Einstufung der Lieferantenbeziehung aus dem Blickwinkel der Informationssicherheit. Dies ermöglicht den Mitarbeitern der Institution eine schnelle und korrekte Abschätzung, welche Informationen dem Lieferanten gegenüber preisgegeben werden dürfen. Die Klassen können sowohl anhand einer Einstufung der Daten (z.B. Preisgabe von Verschlussachen oder nicht), als auch anhand der Funktion aus Sicht der Institution (z.B. Finanzdienstleister, Versorgungseinrichtungen, Cloud, Logistik, Lieferant von IT-Produkten) gewählt werden. Es empfiehlt sich auch das Herkunftsland oder nachrichtendienstliche Erkenntnisse über den Lieferanten mit in die Bewertung einfließen zu lassen." + } + ] + }, + { + "id": "BES.3.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Auswahlkriterien", + "props": [ + { + "name": "alt-identifier", + "value": "3f92f682-56ae-447b-996e-a4b5f4bd8963" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten, Advanced Persistent Threats (APT)" + } + ], + "links": [ + { + "href": "#BES.1.3", + "rel": "related" + }, + { + "href": "#DLS.3.5", + "rel": "related" + } + ], + "parts": [ + { + "id": "BES.3.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Einkäufe" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Beschaffungskriterien" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Auswahl von Lieferanten" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "anhand von Kriterien zu ihrer Verlässlichkeit" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Beschaffungsmanagement für Einkäufe SOLLTE die Auswahl von Lieferanten anhand von Kriterien zu ihrer Verlässlichkeit verankern." + }, + { + "id": "BES.3.2_gdn", + "name": "guidance", + "prose": "Beispielsweise durch Marktanalysen, Kundenreferenzen, Zertifizierungen, Begutachtungen oder Audits. Hierzu können z.B. Entwicklungsprozesse, Verschlüsselung oder Anonymisierung vertraulicher Daten, Schlüsselmanagement, Authentifizierung von Zugriffen, Wiederherstellung nach Vorfällen oder die Evaluation der sicheren Verarbeitung gehören. Auch die Prüfung auf finanzielle Stabilität des Lieferanten ist zu empfehlen. Ein finanziell instabiler Lieferant stellt ein erhebliches Risiko für die Geschäftskontinuität dar, da er möglicherweise den Betrieb einstellt, Supportleistungen nicht mehr erbringen kann oder von einem Unternehmen mit unklaren Sicherheitsstandards übernommen wird." + } + ], + "controls": [ + { + "id": "BES.3.2.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Zertifizierte Lieferanten", + "props": [ + { + "name": "alt-identifier", + "value": "66e8a313-c8cf-48e2-b04e-98013c2c9243" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "parts": [ + { + "id": "BES.3.2.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Einkäufe" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Beschaffungskriterien" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Auswahl von Lieferanten" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "anhand von Zertifikaten, Testaten oder Vergleichbarem" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Beschaffungsmanagement für Einkäufe KANN die Auswahl von Lieferanten anhand von Zertifikaten, Testaten oder Vergleichbarem verankern." + }, + { + "id": "BES.3.2.1_gdn", + "name": "guidance", + "prose": "Ein „Zertifikat“ ist in diesem Kontext ein formaler Nachweis durch eine akkreditierte, unabhängige Stelle, dass bestimmte Anforderungen oder Standards erfüllt werden (z. B. ISO/IEC-Normen). Ein „Testat“ kann die schriftliche Bestätigung einer fachkundigen Prüfstelle darstellen, dass ein Prozess oder System in definierten Punkten geprüft und als konform bewertet wurde. Vergleichbare Nachweise können Berichte von Audits, externe Gutachten oder auch dokumentierte Ergebnisse standardisierter Sicherheitstests sein. Eine Institution kann die Anforderung konkret umsetzen, indem sie in Ausschreibungen eine Liste akzeptierter Zertifikate (z. B. ISO 27001, ISO 9001, SOC 2), Testate (z. B. C5 für Cloud-Dienste) oder vergleichbarer Nachweise (z. B. Penetrationstest-Reports durch Dritte) benennt. Hilfreich kann es sein, Mindestgültigkeitszeiträume für Nachweise zu definieren, stichprobenartige Plausibilitätsprüfungen der Dokumente vorzunehmen oder in Bewertungsmatrizen höhere Gewichtungspunkte für aktuelle und unabhängige Nachweise zu vergeben. Zusätzlich kann ein einfacher Maßnahmenkatalog etabliert werden, der (1) überprüft, ob Nachweise aktuell und gültig sind, (2) die Relevanz für den konkreten Leistungsumfang bewertet und (3) die Ergebnisse nachvollziehbar dokumentiert, um Entscheidungen transparent und revisionssicher zu halten." + } + ] + }, + { + "id": "BES.3.2.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Quellendiversifikation", + "props": [ + { + "name": "alt-identifier", + "value": "6d1954f0-d3b8-4c4b-84bc-b0586d0d6476" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "parts": [ + { + "id": "BES.3.2.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Einkäufe" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Beschaffungskriterien" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Auswahl von Lieferanten" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "anhand ihrer Fähigkeit, ihre Bezugsquellen zu diversifizieren und die Bindung an bestimmte Lieferanten zu begrenzen," + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Beschaffungsmanagement für Einkäufe KANN die Auswahl von Lieferanten anhand ihrer Fähigkeit, ihre Bezugsquellen zu diversifizieren und die Bindung an bestimmte Lieferanten zu begrenzen, verankern." + }, + { + "id": "BES.3.2.2_gdn", + "name": "guidance", + "prose": "Die Fähigkeit zur Diversifizierung von Bezugsquellen bedeutet in diesem Kontext, dass ein Lieferant nicht ausschließlich auf einzelne Hersteller, Produzenten oder Märkte angewiesen ist, sondern alternative Beschaffungswege vorweisen kann. Die Bindung an bestimmte Lieferanten beschreibt eine Abhängigkeit, bei der zentrale Produkte oder Dienstleistungen faktisch nur von wenigen oder gar einem Anbieter bezogen werden können. Der Sinn dieser Anforderung liegt darin, die Risiken eines Vendor lock-in auf Seiten des Lieferanten zu begrenzen: Könnte ein Lieferant aufgrund geopolitischer Spannungen, wirtschaftlicher Probleme oder technischer Abkündigungen sich nicht mehr auf seine Zulieferer verlassen, so könnt er möglicherweise seine Leistungen nicht mehr erbringen, wodurch die Institution ohne Alternativen möglicherweise gravierende Ausfälle erleiden würde. Eine bewusste Auswahl nach Diversifizierungsfähigkeit kann die Versorgungssicherheit erhöhen und kritische Engpässe vermeiden." + } + ] + } + ] + }, + { + "id": "BES.3.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Unzuverlässige Lieferanten", + "props": [ + { + "name": "alt-identifier", + "value": "4bcaa246-3ee4-4d39-9998-d9ce1f5faf44" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten, Advanced Persistent Threats (APT)" + } + ], + "links": [ + { + "href": "#DEV.4.2", + "rel": "related" + } + ], + "parts": [ + { + "id": "BES.3.3_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Einkäufe" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Prozess Beschaffung" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Beschaffung aus einer unbekannten oder unzuverlässigen Quelle" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "untersagen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Beschaffungsmanagement für Einkäufe SOLLTE die Beschaffung aus einer unbekannten oder unzuverlässigen Quelle untersagen." + }, + { + "id": "BES.3.3_gdn", + "name": "guidance", + "prose": "Eine Quelle (z.B. ein Softwarelieferant) ist unzuverlässig, wenn zukünftig mit Verstößen gegen die Schutzziele Vertraulichkeit, Verfügbarkeit oder Integrität durch ihn zu rechnen ist (d.h. eine Prognose der Vertrauenswürdigkeit). Dies ist insbesondere der Fall, wenn erhebliche Verstöße gegen die Schutzziele durch ihn begangen worden sind oder Anzeichen dafür vorliegen, dass bei einer Verwendung mit solchen Verstößen zu rechnen ist." + } + ] + } + ] + }, + { + "id": "BES.4", + "title": "Auswahl von Produkten und Dienstleistungen", + "props": [ + { + "name": "label", + "value": "4" + }, + { + "name": "alt-identifier", + "value": "96adc7ae-935e-4dae-83ab-07521980bc56" + } + ], + "controls": [ + { + "id": "BES.4.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Klassifizierung von Beschaffungsvorhaben", + "props": [ + { + "name": "alt-identifier", + "value": "0e95983d-3def-4ce0-a037-31ed7dbc9ef8" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "parts": [ + { + "id": "BES.4.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Einkäufe" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Beschaffungskriterien" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "dem Beschaffungsvorhaben eine Klasse" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "zuweisen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Beschaffungsmanagement für Einkäufe SOLLTE dem Beschaffungsvorhaben eine Klasse zuweisen." + }, + { + "id": "BES.4.1_gdn", + "name": "guidance", + "prose": "Hierzu kann auf die Klassifizierung von Informationen zurückgegriffen werden, die vom zu beschaffenden Vertrag betroffen sind. Oft verfügen Lieferanten über eigene Klassifizierungsschemata, die sie wiederum mit bestimmten Sicherheitsregelungen und -mechanismen verknüpft haben. In diesem Fall bietet sich ein Mapping zwischen den institutionseigenen Klassen und denen des Lieferanten an. Weitere Informationen zur Festlegung möglicher Kriterien, inklusive einer Risikobeurteilung, können der ISO/IEC 27036-3 entnommen werden." + } + ] + }, + { + "id": "BES.4.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Dokumentation der Beschaffungskriterien", + "params": [ + { + "id": "bes.4.2-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "91319f26-75c0-476c-b544-aedd4dbf6e14" + } + ], + "label": "Kriterien" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "91319f26-75c0-476c-b544-aedd4dbf6e14" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "links": [ + { + "href": "#BES.2.1", + "rel": "related" + } + ], + "parts": [ + { + "id": "BES.4.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Einkäufe" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Beschaffungskriterien" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{Kriterien}} für die Beschaffung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Beschaffungsmanagement für Einkäufe SOLLTE {{ insert: param, bes.4.2-prm1 }} für die Beschaffung dokumentieren." + }, + { + "id": "BES.4.2_gdn", + "name": "guidance", + "prose": "Beschaffungskriterien sind nachvollziehbare Bewertungsmaßstäbe, die bei der Anschaffung von IT-Produkten und Dienstleistungen berücksichtigt werden, um sicherzustellen, dass diese den Sicherheitsanforderungen der Institution entsprechen. Sie ergeben sich aus dem erfassten Bedarf (z.B. einer Beschreibung der Funktionen von IT-Produkten oder zu leistenden Diensten), sowie den Sicherheitsanforderungen an das zu beschaffende Produkt oder die Dienstleistung, die über das jeweilige Zielobjekt im Katalog gefiltert werden können. Beispiele für Beschaffungskriterien sind die Erfüllung definierter Sicherheitsstandards, Verschlüsselungsfähigkeiten, Authentifizierungsmechanismen, Autorisierungskonzepte, die Stärke der geforderten Mechanismen (z.B. Mehr-Faktor-Authentifizierung), Verfügbarkeitsgarantien (SLAs), Umfang und Qualität der Dokumentation, Regelungen zur Prüfung oder Überwachung der Sicherheitskontrollen, sowie Einsatzbedingungen wie Temperatur oder mobile Konnektivität. Relevant ist dabei der gesamte Lebenszyklus von Vertragsschluss über Entwicklung von Lösungen bis hin zu Regelungen für Kündigungen. Zu den Kriterien können auch Negativkriterien gehören, die eine Beschaffung verhindern würden (z.B. \"Keine Komponenten von der unmittelbaren Konkurrenz oder aus Staaten von denen bekannt ist, dass sie Spionage gegen den Sektor der Institution betreiben\"). Je nach Beschaffung kann dafür eine Beschreibung von Informationen und Methoden zur Bereitstellung oder zum Abruf der Informationen relevant sein, sowie eine Beschreibung bestimmter technischer Eigenschaften eines Systems oder einer Anwendung. Zur Umsetzung bietet es sich an, standardisierte Vertragsvorlagen für neue Verträge zu verwenden. Bei individuellen Verträgen, die einzelne Sicherheitskontrollmechanismen festlegen, bietet sich ein Austausch von Beschreibungen der Mechanismen über strukturierte Datenformate wie OSCAL an. Weitere Informationen zur Festlegung möglicher Kriterien, inklusive einer Risikobeurteilung, können der ISO/IEC 27036-3 entnommen werden." + } + ] + }, + { + "id": "BES.4.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Beschaffung anhand der Kriterien", + "props": [ + { + "name": "alt-identifier", + "value": "f8089693-7d13-4f0e-b9a0-98102f685d74" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "links": [ + { + "href": "#BES.4.2", + "rel": "required" + } + ], + "parts": [ + { + "id": "BES.4.3_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Einkäufe" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Prozess Beschaffung" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Beschaffung" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "anhand der festgelegten Kriterien" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Beschaffungsmanagement für Einkäufe SOLLTE die Beschaffung anhand der festgelegten Kriterien verankern." + }, + { + "id": "BES.4.3_gdn", + "name": "guidance", + "prose": "Werden Waren, Systeme oder Dienstleistungen ohne überprüfbare Kriterien beschafft, kann dies zu Sicherheitslücken, finanziellen Schäden oder Abhängigkeiten führen. Beispielsweise könnte eine Institution Hardware von einem unbekannten Anbieter erwerben, deren Firmware Schadcode enthält, oder Cloud-Dienste nutzen, die ihre Datenhaltung in unsicheren Rechtsräumen vornehmen. Ebenso könnte ein IT-Dienstleister beauftragt werden, ohne dass geprüft wurde, ob er über angemessene Qualifikationen oder Referenzen verfügt, was im Ernstfall zu Ausfällen oder Datenverlust führen könnte." + } + ] + }, + { + "id": "BES.4.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Vertragsvorlage für Outsourcing", + "props": [ + { + "name": "alt-identifier", + "value": "5e9bc675-aaa4-48eb-a7c2-5ab27fff09c4" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "parts": [ + { + "id": "BES.4.4_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Outsourcing" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Beschaffungskriterien" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Kriterien für Outsourcing-Dienstleistungen in einer standardisierten Richtlinie für Verträge" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Beschaffungsmanagement für Outsourcing SOLLTE Kriterien für Outsourcing-Dienstleistungen in einer standardisierten Richtlinie für Verträge dokumentieren." + }, + { + "id": "BES.4.4_gdn", + "name": "guidance", + "prose": "Eine standardisierte Richtlinie für Verträge enthält klare grundlegende Kriterien für Verträge mit Anbietenden von Outsourcing , etwa zu Datenlokationen, Test- und Freigabeverfahren, Compliance-Risiken bei Anbietenden von Outsourcing sowie bei Sub-Dienstleistenden, sowie weiteren Aspekte der Informationssicherheit für Outsourcing-Vorhaben. Der besondere Fokus auf Outsourcing ergibt sich daraus, dass hierbei nicht nur Werk- oder Dienstleistungen zugekauft werden, sondern sensible Prozesse oder Daten langfristig aus der direkten Kontrolle der Institution herausgegeben werden. Ohne standardisierte Kriterien könnte ein eigenhändisch formulierter Vertrag z. B. unpräzise Datenschutzregelungen enthalten, was im Vorfallfall dazu führen könnte, dass vertrauliche Daten in ein unsicheres Drittland gelangen oder dass bei Ausfällen keine klaren Eskalationswege bestehen." + } + ] + }, + { + "id": "BES.4.5", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Security by Design", + "props": [ + { + "name": "alt-identifier", + "value": "90462e6d-fc7a-4bf6-bffb-5f005d89aa7c" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "links": [ + { + "href": "#DEV.1.1", + "rel": "related" + }, + { + "href": "#DEV.2.1", + "rel": "related" + } + ], + "parts": [ + { + "id": "BES.4.5_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Einkäufe" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Beschaffungskriterien" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Security by Design" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "vereinbaren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Beschaffungsmanagement für Einkäufe SOLLTE Security by Design vereinbaren." + }, + { + "id": "BES.4.5_gdn", + "name": "guidance", + "prose": "Security by Design gilt als vereinbart, wenn eine Vorgehensweise nach diesem Prinzip oder eine bestimmte Sicherheitsarchitektur Vertragsbestandteil geworden sind, unabhängig von der Frage, von welchem Vertragspartner dies in den Vertrag eingebracht wurde. Zu einer Sicherheitsarchitektur gehören beispielsweise eine Beschreibung der bereitgestellten Schnittstellen und deren Sicherheitsmechanismen, ein Architekturdiagramm, sowie Schemata zum Aufbau von Komponenten oder von Quellcode." + } + ], + "controls": [ + { + "id": "BES.4.5.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Entwicklung nach einem Sicherheitslebenszyklus", + "props": [ + { + "name": "alt-identifier", + "value": "e6a52543-165f-4465-a59f-1928482a96c5" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "parts": [ + { + "id": "BES.4.5.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Produkte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Beschaffungskriterien" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Nachweise zur Entwicklung nach einem Sicherheitslebenszyklus" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "vereinbaren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Beschaffungsmanagement für IT-Produkte KANN Nachweise zur Entwicklung nach einem Sicherheitslebenszyklus vereinbaren." + }, + { + "id": "BES.4.5.1_gdn", + "name": "guidance", + "prose": "Ein Sicherheitslebenszyklus (engl. security development lifecycle, kurz SDL) besteht aus strukturierten Entwicklungsphasen, in denen Sicherheitsaspekte systematisch in Planung, Design, Implementierung, Test und Wartung eines IT-Produkts integriert werden. Solche Nachweise können etwa BSI-Zertifizierungen oder Dokumentationen einer vom Lieferanten unabhängigen Auditierung von Bedrohungsanalysen (threat modeling), sicheren Programmierpraktiken (secure coding guidelines), oder Ergebnissen von Penetrationstests umfassen. Ziel ist, nachprüfbar zu belegen, dass das Produkt nicht nur funktional, sondern auch sicherheitsseitig kontrolliert entwickelt wurde. Fehlt ein solcher Nachweis, könnte ein Produkt Schwachstellen enthalten, die später zu unbemerkten Manipulationen oder Datenabflüssen führen. Ein dokumentierter Sicherheitslebenszyklus kann dagegen Vertrauen in die Integrität, Belastbarkeit und Wartbarkeit eines Produkts schaffen. Die Vereinbarung entsprechender Nachweise kann beispielsweise über standardisierte Sicherheitsanforderungen in Ausschreibungsunterlagen, die Vorlage von Entwicklungsrichtlinien nach ISO/IEC 27034 oder NIST SP 800-218, oder die Anerkennung von Zertifikaten wie Common Criteria erfolgen. Alternativ kann die Institution bei kleineren Anbietern auch stichprobenartige Sicherheitsreviews, Entwicklerbefragungen oder Auditberichte als geeignete Nachweisvarianten akzeptieren." + } + ] + }, + { + "id": "BES.4.5.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Mandantentrennung", + "props": [ + { + "name": "alt-identifier", + "value": "ffafe5ae-04e1-4aef-ae3f-2a3eeb193743" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "links": [ + { + "href": "#BES.7.4.11", + "rel": "related" + } + ], + "parts": [ + { + "id": "BES.4.5.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Outsourcing" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Beschaffungskriterien" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine festgelegte Mandantentrennung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "vereinbaren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Beschaffungsmanagement für Outsourcing KANN eine festgelegte Mandantentrennung vereinbaren." + }, + { + "id": "BES.4.5.2_gdn", + "name": "guidance", + "prose": "Eine Mandantentrennung bezeichnet die Trennung schützenswerter Daten und Verarbeitungskontexte zwischen verschiedenen Mandanten, also den Kunden des Anbieters. Eine festgelegte Mandatentrennung meint hier, dass der Anbieter Informationen über die konkret von ihm zur Mandantentrennung getroffenen Maßnahmen bereitstellt. Hierzu gehören insbesondere Informationen darüber, welche Daten oder Funktionen als mandantenabhängige oder mandantenübergreifende Daten behandelt werden." + } + ] + } + ] + }, + { + "id": "BES.4.6", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Security by Default", + "props": [ + { + "name": "alt-identifier", + "value": "eaea6c10-713f-41d4-95f1-128784ef15d5" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "parts": [ + { + "id": "BES.4.6_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Einkäufe" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Beschaffungskriterien" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Security by Default" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "vereinbaren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Beschaffungsmanagement für Einkäufe SOLLTE Security by Default vereinbaren." + }, + { + "id": "BES.4.6_gdn", + "name": "guidance", + "prose": "Der Detaillierungsgrad der Kriterien kann sich hierbei nach Umfang und Klassifizierung der Beschaffung richten. Bei einfachen Beschaffungen von geringer Bedeutung kann es ausreichend sein grundlegende Sicherheitsmechanismen wie Verschlüsselung und Authentifizierung zu vereinbaren, während bei umfangreichen oder anderweitig risikobehafteten Beschaffungen eine Vereinbarung einzelner Sicherheitsmechanismen sinnvoll ist." + } + ], + "controls": [ + { + "id": "BES.4.6.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Authentifizierung des Kunden", + "props": [ + { + "name": "alt-identifier", + "value": "812c1589-0233-4e24-a69b-d9a4b02e3c1e" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "parts": [ + { + "id": "BES.4.6.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Dienstleistungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Beschaffungskriterien" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine Authentifizierung" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "vor dem Zugriff auf schützenswerte Informationen oder Dienste" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "vereinbaren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Beschaffungsmanagement für Dienstleistungen SOLLTE eine Authentifizierung vor dem Zugriff auf schützenswerte Informationen oder Dienste vereinbaren." + }, + { + "id": "BES.4.6.1_gdn", + "name": "guidance", + "prose": "Sinnvoll ist es sich hierbei sich auf konkrete Authentifizierungsmethoden (z.B. Kundenkennwort, OTP oder Passkeys) zu einigen, mit denen authentifiziert wird, bevor der Lieferant jemandem Zugriff auf Daten oder Prozesse wie den Versand einer neuen SIM-Karte gibt, um Angriffe wie SIM Swapping zu verhindern." + } + ] + }, + { + "id": "BES.4.6.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Verschlüsselung durch den Anbieter", + "props": [ + { + "name": "alt-identifier", + "value": "adac1038-a7a7-4346-8c7e-22e322cf8f2b" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "links": [ + { + "href": "#DLS.2.2", + "rel": "related" + } + ], + "parts": [ + { + "id": "BES.4.6.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Outsourcing" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Beschaffungskriterien" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Verschlüsselung schützenswerter Informationen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "durch den Anbieter" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "vereinbaren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Beschaffungsmanagement für Outsourcing SOLLTE die Verschlüsselung schützenswerter Informationen durch den Anbieter vereinbaren." + }, + { + "id": "BES.4.6.2_gdn", + "name": "guidance", + "prose": "Hiermit ist die Ablageverschlüsselung (at rest) und die Transportverschlüsselung (in transit) gemeint. Die Transportverschlüsselung ist dabei sowohl für die Verbindung zum Outsourcing-Dienstleister, als auch bei der Übertragung innerhalb des Dienstleisternetzes vorzunehmen." + } + ] + }, + { + "id": "BES.4.6.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Manipulationsschutz", + "props": [ + { + "name": "alt-identifier", + "value": "4e08941c-a1c7-4718-934f-c1e8c3e17864" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten, Cryptography, Advanced Persistent Threats (APT)" + } + ], + "parts": [ + { + "id": "BES.4.6.3_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Produkte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Beschaffungskriterien" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Schutzmechanismen gegen Manipulationen auf dem Lieferweg" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "vereinbaren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Beschaffungsmanagement für IT-Produkte KANN Schutzmechanismen gegen Manipulationen auf dem Lieferweg vereinbaren." + }, + { + "id": "BES.4.6.3_gdn", + "name": "guidance", + "prose": "Bei physischen Produkten können hierfür Siegel oder schwer fälschbare Kennzeichnungen verwendet werden, während bei Software und Daten kryptographische Prüfsummen oder digitale Signaturen eingesetzt werden können." + } + ] + } + ] + }, + { + "id": "BES.4.7", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "ISMS beim Dienstleister", + "props": [ + { + "name": "alt-identifier", + "value": "b70e7569-2d18-482b-8f7f-720cd0b1fcb7" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "parts": [ + { + "id": "BES.4.7_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Outsourcing" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Beschaffungskriterien" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "ein Managementsystem für Informationssicherheit (ISMS)" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "vereinbaren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Beschaffungsmanagement für Outsourcing SOLLTE ein Managementsystem für Informationssicherheit (ISMS) vereinbaren." + }, + { + "id": "BES.4.7_gdn", + "name": "guidance", + "prose": "Ohne klare Vorgaben zum Managementsystem könnte ein Anbieter vertrauliche Daten unverschlüsselt übertragen, Sicherheitslücken in seiner Infrastruktur nicht rechtzeitig schließen oder sicherheitsrelevante Vorfälle nicht transparent melden. Durch abgestimmte Sicherheitsstandards kann dagegen die Vertraulichkeit von Daten gewahrt, die Integrität von Prozessen gesichert und die Nachvollziehbarkeit bei Vorfällen verbessert werden. Das Vorhandensein lässt sich durch ein Zertifikat nachweisen, z.B. nach ISO/IEC 27001:2022 oder BSI IT-Grundschutz." + } + ] + }, + { + "id": "BES.4.8", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Konformitätsnachweise", + "props": [ + { + "name": "alt-identifier", + "value": "3e56f7c0-63b1-4017-8e30-3a78c1f06693" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten, Advanced Persistent Threats (APT)" + } + ], + "parts": [ + { + "id": "BES.4.8_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Einkäufe" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Beschaffungskriterien" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Nachweise des Lieferanten zur Erfüllung der Sicherheitskriterien" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "vereinbaren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Beschaffungsmanagement für Einkäufe SOLLTE Nachweise des Lieferanten zur Erfüllung der Sicherheitskriterien vereinbaren." + }, + { + "id": "BES.4.8_gdn", + "name": "guidance", + "prose": "Nachweise können z.B. durch eine passende Zertifizierung (etwa nach IT-Grundschutz bei Dienstleistern oder CCRA bei IT-Produkten), ein Testat (z.B. C5-Testat für Cloud-Anbieter), oder durch die Vorlage von Sicherheitskonzepten, Risikoanalysen und Pentesting-Ergebnissen erbracht werden." + } + ], + "controls": [ + { + "id": "BES.4.8.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Zertifizierung", + "params": [ + { + "id": "bes.4.8.1-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "6cecab39-d08d-49a1-922e-b3f9ea7d5af4" + } + ], + "label": "einem passenden Sicherheitsstandard" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "6cecab39-d08d-49a1-922e-b3f9ea7d5af4" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "parts": [ + { + "id": "BES.4.8.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Einkäufe" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Beschaffungskriterien" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "ein Zertifikat oder Testat" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "nach {{einem passenden Sicherheitsstandard}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "vereinbaren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Beschaffungsmanagement für Einkäufe KANN ein Zertifikat oder Testat nach {{ insert: param, bes.4.8.1-prm1 }} vereinbaren." + }, + { + "id": "BES.4.8.1_gdn", + "name": "guidance", + "prose": "Ein Zertifikat ist eine unabhängige Bestätigung der Konformität, die von einer akkreditierten Konformitätsbewertungsstelle (wie z.B. einer Zertifizierungsstelle) ausgestellt wird, nachdem diese die Konformität eines Produkts, einer Dienstleistung, eines Prozesses oder eines Managementsystems mit bestimmten Normen oder Anforderungen bestätigt hat. Die Art des Zertifikates richtet sich dabei nach der Art der geplanten Beschaffung. IT-Produkte können z.B. nach Common Criteria zertifiziert werden. Bei Dienstleistungen kann ein zertifiziertes Managementsystem für Informationssicherheit (nach IT-Grundschutz oder ISO/IEC 27001) vereinbart werden. Ein Testat wäre z.B. C5." + } + ] + }, + { + "id": "BES.4.8.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Cloud-Konformität", + "props": [ + { + "name": "alt-identifier", + "value": "ccb6ba42-3bb5-4ef8-b089-70a6e383f96c" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "parts": [ + { + "id": "BES.4.8.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Cloud-Dienste" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Beschaffungskriterien" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "einen Konformitätsnachweis durch Dritte" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "vereinbaren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Beschaffungsmanagement für Cloud-Dienste SOLLTE einen Konformitätsnachweis durch Dritte vereinbaren." + }, + { + "id": "BES.4.8.2_gdn", + "name": "guidance", + "prose": "Beispielsweise durch ein C5 Testat. Hierbei ist zu prüfen, ob der Geltungsbereich und der Schutzbedarf die genutzten Clouddienste erfasst (Auswertung des Nachweises). Dies gilt auch für Subdienstleister." + } + ] + }, + { + "id": "BES.4.8.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "IT-Grundschutz-Analyse der Infrastruktur", + "props": [ + { + "name": "alt-identifier", + "value": "989d9e29-9064-4366-a887-bc17c1440e35" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "parts": [ + { + "id": "BES.4.8.3_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Outsourcing" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Beschaffungskriterien" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine IT-Grundschutz-Analyse der potenziell zu nutzenden Infrastruktur des Dienstleisters" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "vereinbaren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Beschaffungsmanagement für Outsourcing KANN eine IT-Grundschutz-Analyse der potenziell zu nutzenden Infrastruktur des Dienstleisters vereinbaren." + }, + { + "id": "BES.4.8.3_gdn", + "name": "guidance", + "prose": "Bei einer IT-Grundschutz-Analyse im Rahmen des Outsourcings wird an der potenziell zu nutzenden Infrastruktur des Dienstleisters eine IT-Grundschutz-Analyse (Strukturanalyse, Schutzbedarfsfeststellung, …) durchgeführt. Anschließend werden die sich daraus ergebenden Sicherheitsanforderungen als Beschaffungskriterien an den Dienstleister gestellt. Dies bietet sich an, wenn entweder ein besonders hohes Sicherheitsniveau angestrebt wird, oder der Dienstleister bislang über kein ISMS verfügt, obwohl die Institution umfangreiche Prozesse auslagern möchte." + } + ] + }, + { + "id": "BES.4.8.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Offenlegung der Risikoanalyse", + "props": [ + { + "name": "alt-identifier", + "value": "ff58fdb4-bc6e-42fc-9e28-eb89a32bc656" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "parts": [ + { + "id": "BES.4.8.4_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Outsourcing" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Beschaffungskriterien" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine Offenlegung der Risikoanalyse aus dem ISMS des Dienstleisters, soweit eine Risikoanalyse nach IT-Grundschutz-Vorgehensweise notwendig ist," + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "vereinbaren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Beschaffungsmanagement für Outsourcing KANN eine Offenlegung der Risikoanalyse aus dem ISMS des Dienstleisters, soweit eine Risikoanalyse nach IT-Grundschutz-Vorgehensweise notwendig ist, vereinbaren." + }, + { + "id": "BES.4.8.4_gdn", + "name": "guidance", + "prose": "Eine Offenlegung ist hierzu nur erforderlich, soweit die Informationen für die Risikoanalyse des Auftraggebers erforderlich sind." + } + ] + } + ] + }, + { + "id": "BES.4.9", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Sicherheitsüberprüfung (extern)", + "props": [ + { + "name": "alt-identifier", + "value": "ec083939-6e37-46be-978e-7b0c894ab768" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "links": [ + { + "href": "#PERS.3.6.1", + "rel": "related" + } + ], + "parts": [ + { + "id": "BES.4.9_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Einkäufe" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Beschaffungskriterien" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Sicherheitsüberprüfungen für Personen, die vom Lieferanten mit der Vertragsdurchführung beauftragt werden," + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "vereinbaren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Beschaffungsmanagement für Einkäufe KANN Sicherheitsüberprüfungen für Personen, die vom Lieferanten mit der Vertragsdurchführung beauftragt werden, vereinbaren." + }, + { + "id": "BES.4.9_gdn", + "name": "guidance", + "prose": "Eine Sicherheitsüberprüfung meint die Verifikation von Identität, beruflicher Qualifikation und Verlässlichkeit von allen Personen mit Zugriff auf schützenswerte Informationen, hier konkret des beauftragten Personal des Lieferanten. Die Sicherheitsüberprüfung kann je nach Vereinbarung vom Lieferanten oder dem Auftraggeber ausgeführt werden. Die Verlässlichkeit kann z.B. anhand eines polizeilichen Führungszeugnisses und einer OSINT-Recherche verifiziert werden. Hierbei besteht ein enger Bezug zum Persönlichkeits- und Datenschutzrecht der Betroffenen." + } + ] + } + ] + }, + { + "id": "BES.5", + "title": "Auswahl von Produkten und Dienstleistungen - Zusammenarbeit", + "props": [ + { + "name": "label", + "value": "5" + }, + { + "name": "alt-identifier", + "value": "70b4f78c-736e-4e2b-b2bf-367e4b41590d" + } + ], + "controls": [ + { + "id": "BES.5.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Kompetenzen", + "props": [ + { + "name": "alt-identifier", + "value": "b06b3614-ed43-4d03-a3af-700d7416f550" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten, Kompetenzmanagement" + } + ], + "parts": [ + { + "id": "BES.5.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Dienstleistungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Beschaffungskriterien" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Kompetenzen in Informationssicherheit, die von den Mitarbeitern des Lieferanten verlangt werden," + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "vereinbaren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Beschaffungsmanagement für Dienstleistungen SOLLTE Kompetenzen in Informationssicherheit, die von den Mitarbeitern des Lieferanten verlangt werden, vereinbaren." + }, + { + "id": "BES.5.1_gdn", + "name": "guidance", + "prose": "Dient dem Ziel, Risiken durch unzureichend geschultes Personal zu minimieren. Ohne solche Vorgaben könnte es dazu kommen, dass Dienstleister vertrauliche Daten versehentlich preisgeben, schwache Passwörter verwenden oder Phishing-Angriffe nicht erkennen. Durch die Vereinbarung von Mindestkompetenzen kann erreicht werden, dass Dienstleister Sicherheitsrichtlinien verstehen, Bedrohungen frühzeitig identifizieren und im Einklang mit den Schutzinteressen der Institution handeln. Im Kontext bedeutet Kompetenzen in Informationssicherheit, dass Mitarbeiter des Lieferanten über Wissen, Fähigkeiten und Verhalten verfügen, die erforderlich sind, um mit vertraulichen Informationen und IT-Systemen angemessen sicher umzugehen. Dies kann grundlegendes Verständnis für sichere Passwörter und mobile Geräte umfassen, aber auch Kenntnisse zu branchenspezifischen Sicherheitsverfahren oder zum Umgang mit sensiblen Kundendaten. Eine sinnvolle Umsetzung kann zum Beispiel beinhalten, dass die Institution in den Verträgen mit Lieferanten konkrete Mindestanforderungen an Schulungen und Zertifikate definiert, etwa: (1) Einführungsschulungen zu IT-Sicherheitsgrundlagen, (2) regelmäßige Auffrischungen zu Themen wie Social Engineering oder sichere Datennutzung, (3) Nachweise über spezielle Fachkenntnisse, wenn besonders sensible Daten verarbeitet werden. Praktisch kann eine Institution durch standardisierte Schulungsprogramme, die Überprüfung von Zertifikaten (z. B. ISO/IEC- oder BSI-bezogene Qualifikationen) oder durch kurze Wissens-Checks im Rahmen der Dienstleister-Onboarding-Prozesse sicherstellen, dass vereinbarte Kompetenzen tatsächlich vorhanden sind." + } + ] + }, + { + "id": "BES.5.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Service Level Agreement", + "params": [ + { + "id": "bes.5.2-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "31fea405-1180-4c99-b080-a90a2ee6f574" + } + ], + "label": "Kriterien" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "31fea405-1180-4c99-b080-a90a2ee6f574" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "parts": [ + { + "id": "BES.5.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Outsourcing" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Beschaffungskriterien" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Einhaltung einer bestimmten Dienstgüte" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "anhand von {{Kriterien}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "vereinbaren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Beschaffungsmanagement für Outsourcing SOLLTE die Einhaltung einer bestimmten Dienstgüte anhand von {{ insert: param, bes.5.2-prm1 }} vereinbaren." + }, + { + "id": "BES.5.2_gdn", + "name": "guidance", + "prose": "Dienstgüte (engl. Service Quality oder Service Level) beschreibt das messbare Leistungsniveau, das ein externer Anbieter dauerhaft erbringen soll. Sie wird üblicherweise in Service Level Agreements (SLA) festgelegt und kann Aspekte wie Reaktionszeiten, Verfügbarkeiten, Fehlerraten oder Sicherheitsstandards betreffen. Die Kriterien können z. B. Verfügbarkeit (in %), maximale Wiederherstellungszeiten (Recovery Time Objective, RTO), Datensicherheitsmaßnahmen, Supportzeiten oder Nachweisintervalle für Penetrationstests sein. Der Zweck dieser Vorgabe liegt darin, Risiken unklarer Leistungs- oder Sicherheitsverantwortung zu vermeiden, die im Falle unpräziser oder fehlender Dienstgütezusagen zu Ausfällen, Datenverlusten oder unzureichenden Sicherheitsreaktionen führen könnten. Eine klar definierte und überprüfbare Dienstgüte kann dagegen Transparenz schaffen, die Vergleichbarkeit von Anbietern erleichtern und die Resilienz ausgelagerter Prozesse erhöhen. Dabei sind möglichst objektivierte, quantitative Kriterien deutlich nachvollziehbarer und eindeutiger als einfache Beschreibungen wie \"gut\". Ein Beipiel ist eine Mindestverfügbarkeit von 99% für einen Server, auf dem hochverfügbare Daten gespeichert werden. Neben einzuhaltenden Mindestkriterien bietet es sich hier auch an optionale Qualitätskriterien festzulegen, bei deren Erfüllung höhere Preise akzeptiert werden, um ein \"Race to the bottom\" im Wettbewerb der Anbieter um die Institution zu vermeiden, da ein rein preisorientierter Wettlauf auf Kosten der Sicherheit gehen könnte." + } + ] + }, + { + "id": "BES.5.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Compliance-Verpflichtungen", + "props": [ + { + "name": "alt-identifier", + "value": "9c0e2a1c-59f9-4390-9d1c-6ec3417892a8" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "parts": [ + { + "id": "BES.5.3_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Einkäufe" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Beschaffungskriterien" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Übereinstimmung mit Compliance-Verpflichtungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "vereinbaren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Beschaffungsmanagement für Einkäufe SOLLTE die Übereinstimmung mit Compliance-Verpflichtungen vereinbaren." + }, + { + "id": "BES.5.3_gdn", + "name": "guidance", + "prose": "Hierzu gehören beispielsweise der Schutz personenbezogener Daten, geistige Eigentumsrechte von interessierten Parteien oder Dritten. Aufgrund unterschiedlicher Rechtssetzung und -durchsetzung sind dabei insbesondere Verarbeitungsstandorte zwischen Inland, EU und außereuropäischem Ausland zu unterscheiden." + } + ] + }, + { + "id": "BES.5.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Informationssicherheitskontrollmechanismen", + "props": [ + { + "name": "alt-identifier", + "value": "d2df7724-3a8a-4125-bd43-fa78cfe61d7b" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "parts": [ + { + "id": "BES.5.4_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Einkäufe" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Beschaffungskriterien" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Informationssicherheitskontrollmechanismen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "vereinbaren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Beschaffungsmanagement für Einkäufe SOLLTE Informationssicherheitskontrollmechanismen vereinbaren." + }, + { + "id": "BES.5.4_gdn", + "name": "guidance", + "prose": "Genaue und vollständige Beschreibung der Mechanismen, insbesondere zur Zugriffskontrolle durch Mehr-Faktor-Authentifizierung, Verschlüsselung von Daten beim Transport und bei der Speicherung, Härtung von Systemen, Überwachung sicherheitsrelevanter Ereignisse oder zum Schwachstellenmanagement." + } + ] + }, + { + "id": "BES.5.5", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Nutzungsregelungen", + "props": [ + { + "name": "alt-identifier", + "value": "cc1f6483-3c4d-4258-8f4c-f1d4dbff69c8" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "parts": [ + { + "id": "BES.5.5_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Dienstleistungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Beschaffungskriterien" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Regelungen zur Nutzung der Daten und damit verbundenen Assets" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "vereinbaren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Beschaffungsmanagement für Dienstleistungen SOLLTE Regelungen zur Nutzung der Daten und damit verbundenen Assets vereinbaren." + }, + { + "id": "BES.5.5_gdn", + "name": "guidance", + "prose": "Hierzu zählen z.B. Zugriffsregelungen und Regelungen darüber unter welchen Bedingungen (Ort, Zeit, etc.) Daten genutzt werden dürfen. Darüber hinaus gehören auch Regelungen dazu, wann eine Nutzung aus Sicht der Institution explizit nicht akzeptabel ist." + } + ], + "controls": [ + { + "id": "BES.5.5.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Datenlokationen", + "props": [ + { + "name": "alt-identifier", + "value": "5fc9434d-4d26-4383-ba5a-d921563f01ce" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "links": [ + { + "href": "#ASST.3.10", + "rel": "required" + } + ], + "parts": [ + { + "id": "BES.5.5.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Dienstleistungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Beschaffungskriterien" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Verarbeitung von Daten ausschließlich an von der Institution erlaubten Datenlokationen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "vereinbaren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Beschaffungsmanagement für Dienstleistungen KANN die Verarbeitung von Daten ausschließlich an von der Institution erlaubten Datenlokationen vereinbaren." + }, + { + "id": "BES.5.5.1_gdn", + "name": "guidance", + "prose": "Ziel ist es zu verhindern, dass vertrauliche Informationen in Staaten mit schwachem Datenschutz oder unter fremder Rechtsaufsicht verarbeitet werden. Ohne diese Festlegung könnte ein Dienstleister Daten an Subunternehmer in Drittländern weitergeben, wo staatliche Zugriffe oder unzureichende Sicherheitsmaßnahmen die Vertraulichkeit und Integrität der Daten gefährden könnten. Durch eine konsequente Beschränkung der Datenlokationen kann die Institution hingegen nachvollziehbare Sicherheits- und Rechtsrahmen schaffen, die Transparenz gegenüber Betroffenen erhöhen und das Risiko unkontrollierter Datenabflüsse verringern. Unter „Datenlokation“ ist in diesem Kontext der physische oder virtuelle Standort gemeint, an dem Daten gespeichert, verarbeitet oder übertragen werden – also Rechenzentren, Cloud-Regionen oder spezifische Länderzonen. Eine „erlaubte Datenlokation“ kann eine innerhalb der EU liegende Cloud-Region, ein zertifiziertes Rechenzentrum im eigenen Land oder ein dedizierter Bereich innerhalb eines Cloud-Anbieters sein. Die Institution kann dies umsetzen, indem sie (1) in Dienstleistungsverträgen präzise Angaben zu zulässigen Ländern oder Regionen vereinbart, (2) von Dienstleistern Nachweise wie technische Standortkontrollen oder Auditberichte einfordert und (3) bei Cloud-Diensten gezielt Konfigurationen wie „Data Residency“-Optionen, Geofencing oder restriktive Auswahl von Regionen einsetzt." + } + ] + }, + { + "id": "BES.5.5.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Autorisierung der Zugriffsberechtigung", + "params": [ + { + "id": "bes.5.5.2-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "adb32e38-f59a-42fa-b1a0-67abd118c585" + } + ], + "label": "Kriterien" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "adb32e38-f59a-42fa-b1a0-67abd118c585" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "parts": [ + { + "id": "BES.5.5.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Dienstleistungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Beschaffungskriterien" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Regelungen zur Autorisierung der Zugriffsberechtigung für Personal des Lieferanten" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "anhand von {{Kriterien}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "vereinbaren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Beschaffungsmanagement für Dienstleistungen SOLLTE Regelungen zur Autorisierung der Zugriffsberechtigung für Personal des Lieferanten anhand von {{ insert: param, bes.5.5.2-prm1 }} vereinbaren." + }, + { + "id": "BES.5.5.2_gdn", + "name": "guidance", + "prose": "Dies kann beispielsweise durch eine explizite Liste der Personen oder Rollen des Zulieferers, welche berechtigt sind, die Informationen der Institution und andere zugehörige Vermögenswerte zu nutzen, umgesetzt werden." + } + ] + } + ] + }, + { + "id": "BES.5.6", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Vergabe von Unteraufträgen", + "props": [ + { + "name": "alt-identifier", + "value": "893be21d-b437-462d-9d29-193e2b6f62cc" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "parts": [ + { + "id": "BES.5.6_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Einkäufe" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Beschaffungskriterien" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Regelungen für die Vergabe von Unteraufträgen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "vereinbaren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Beschaffungsmanagement für Einkäufe SOLLTE Regelungen für die Vergabe von Unteraufträgen vereinbaren." + }, + { + "id": "BES.5.6_gdn", + "name": "guidance", + "prose": "Unter einem „Unterauftrag“ versteht man in diesem Kontext die vollständige oder teilweise Weitergabe vertraglich geschuldeter Leistungen an Dritte, z.B. einem Subunternehmer (Subcontractor). Relevant ist, dass die Institution nicht nur mit dem direkten Vertragspartner in einer vertraglichen Beziehung steht, sondern durch Unteraufträge auch indirekt Abhängigkeiten und Risiken entstehen könnten. Ohne klare Vereinbarungen könnte es dazu kommen, dass Unterauftragnehmer geringere Sicherheitsstandards einhalten, vertrauliche Informationen unzureichend schützen oder den vereinbarten Leistungsumfang nicht vollständig erfüllen. Beispielsweise könnte ein IT-Dienstleister einen Teil der Softwareentwicklung an ein externes Team in einem Land mit niedrigeren Datenschutzstandards auslagern, was zu Datenabfluss, Urheberrechtsverletzungen oder unkontrollierten Zugriffswegen führt. Auch Lieferkettenmanipulationen, etwa durch den Austausch von Hardware-Komponenten gegen kompromittierte Bauteile, können so unbemerkt ihren Weg in kritische Systeme finden. Umgesetzt werden kann die Anforderung beispielsweise dadurch, dass (1) die Institution in Verträgen festhält, ob und in welchem Rahmen Unteraufträge zulässig sind. Eine weitere praxisnahe Maßnahme kann sein, (2) Subunternehmer nur nach vorheriger schriftlicher Zustimmung der Institution zuzulassen und dabei (3) bestimmte Kategorien wie kritische IT-Dienstleistungen oder Datenverarbeitung ausdrücklich zu kennzeichnen. Technisch kann vertraglich vereinbart werden, dass Subunternehmer mindestens gleichwertige Sicherheitsstandards nachweislich erfüllen und dies regelmäßig auditiert werden kann." + } + ], + "controls": [ + { + "id": "BES.5.6.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Weitergabe der Beschaffungskriterien", + "props": [ + { + "name": "alt-identifier", + "value": "58f15c9a-d587-4971-8239-d99a01478dca" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "parts": [ + { + "id": "BES.5.6.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Einkäufe" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Beschaffungskriterien" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Weitergabe der Beschaffungskriterien an Unterauftragnehmer" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "vereinbaren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Beschaffungsmanagement für Einkäufe SOLLTE die Weitergabe der Beschaffungskriterien an Unterauftragnehmer vereinbaren." + }, + { + "id": "BES.5.6.1_gdn", + "name": "guidance", + "prose": "Dient dazu, sicherzustellen, dass die bei der Auswahl von Produkten, Dienstleistungen oder Lieferanten berücksichtigten Anforderungen entlang der gesamten Lieferkette eingehalten werden. Werden diese Kriterien nicht weitergegeben, kann es dazu kommen, dass sicherheitsrelevante Eigenschaften verloren gehen, etwa wenn ein Unterauftragnehmer günstigere, aber unsichere oder nicht konforme Komponenten beschafft. So könnte beispielsweise ein IT-Dienstleister ohne Kenntnis der geforderten Verschlüsselungsstandards Speichermedien einsetzen, die keine wirksame Datenverschlüsselung bieten, oder ein Bauunternehmen minderwertige Zutrittskontrollsysteme verbauen, weil die eigentlichen Sicherheitsvorgaben nicht bekannt waren. Auch Lieferverzögerungen, rechtliche Probleme durch fehlende Zertifizierungen oder das Einschleusen von Schadsoftware über ungesicherte Lieferungen können die Folge sein. Um die Weitergabe zu vereinfachen, können die Kriterien in einem maschinell verarbeitbaren Format (z.B. OSCAL Catalog oder Profile) ausgetauscht werden." + } + ] + }, + { + "id": "BES.5.6.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Autorisierung von Unterauftragnehmern", + "props": [ + { + "name": "alt-identifier", + "value": "4b719eae-3c29-4579-ad77-653ab02ee880" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "parts": [ + { + "id": "BES.5.6.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Einkäufe" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Beschaffungskriterien" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Autorisierung von Unterauftragnehmern durch den Auftraggeber" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "vereinbaren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Beschaffungsmanagement für Einkäufe KANN die Autorisierung von Unterauftragnehmern durch den Auftraggeber vereinbaren." + }, + { + "id": "BES.5.6.2_gdn", + "name": "guidance", + "prose": "Unterauftragnehmer sind in diesem Zusammenhang Dritte, die vom beauftragten Hauptdienstleister zur Erfüllung vertraglicher Leistungen hinzugezogen werden. Die Autorisierung von Unterauftragnehmern durch den Auftraggeber kann sicherstellen, dass keine unkontrollierten oder ungeprüften Dritten in die Leistungserbringung eingebunden werden. Ohne eine solche Regelung könnte ein Hauptauftragnehmer eigenmächtig Subunternehmen einsetzen, die unzureichende Sicherheitsstandards einhalten, intransparent agieren oder in kritische Abhängigkeiten geraten. Durch die vorherige Zustimmung des Auftraggebers kann das Risiko unzureichender Qualifikation oder fehlender Vertrauenswürdigkeit reduziert werden und es kann eine gezielte Steuerung erfolgen, wer Zugang zu vertraulichen Informationen oder kritischen Prozessen erhält." + } + ] + }, + { + "id": "BES.5.6.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Nachverfolgbarkeit der Lieferkette", + "params": [ + { + "id": "bes.5.6.3-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "95512f8d-eca6-4928-a56f-1a58e5fcf3f0" + } + ], + "label": "kritische Komponenten" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "95512f8d-eca6-4928-a56f-1a58e5fcf3f0" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "parts": [ + { + "id": "BES.5.6.3_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Produkte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Beschaffungskriterien" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Nachverfolgbarkeit der gesamten Lieferkette bis zum Hersteller" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "für {{kritische Komponenten}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "vereinbaren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Beschaffungsmanagement für IT-Produkte KANN die Nachverfolgbarkeit der gesamten Lieferkette bis zum Hersteller für {{ insert: param, bes.5.6.3-prm1 }} vereinbaren." + }, + { + "id": "BES.5.6.3_gdn", + "name": "guidance", + "prose": "Kritische Komponenten sind in diesem Kontext Bauteile oder Softwareelemente, deren Kompromittierung erhebliche Auswirkungen auf Sicherheit, Verfügbarkeit oder Integrität der eingesetzten Systeme haben könnte, z. B. kryptographische Module, Firmware von Netzwerkgeräten oder sicherheitsrelevante Steuerungseinheiten. Ohne nachvollziehbare Herkunft könnten Komponenten aus unsicheren Produktionsumgebungen stammen, in denen Hintertüren eingebaut oder Schadcode eingeschleust wurde; ebenso könnten gefälschte Ersatzteile eingesetzt werden, deren Qualität und Funktionssicherheit unzureichend ist. „Nachverfolgbarkeit“ (Traceability) bedeutet in diesem Zusammenhang die Möglichkeit, Herkunft, Transport- und Verarbeitungsschritte einer Komponente lückenlos und verifizierbar zu dokumentieren. Geeignete Maßnahmen können z. B. die Anforderung eines „Chain of Custody“-Protokolls, die Nutzung digital signierter Herkunftszertifikate oder die Einbindung seriöser, auditierter Distributoren sein. Auch der Einsatz von Datenbanken anerkannter Prüfinstanzen, in denen verifizierte Hersteller gelistet sind, kann eine Möglichkeit sein, die Nachverfolgbarkeit zu unterstützen." + } + ] + } + ] + }, + { + "id": "BES.5.7", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Schulung", + "props": [ + { + "name": "alt-identifier", + "value": "c95ea1ad-f766-43e2-a07d-1eb50cc58907" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten, Kompetenzmanagement" + } + ], + "parts": [ + { + "id": "BES.5.7_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Einkäufe" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Beschaffungskriterien" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine Schulung zur Nutzung gelieferter Sicherheitsmechanismen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "vereinbaren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Beschaffungsmanagement für Einkäufe KANN eine Schulung zur Nutzung gelieferter Sicherheitsmechanismen vereinbaren." + }, + { + "id": "BES.5.7_gdn", + "name": "guidance", + "prose": "Sicherheitsmechanismen sind in diesem Kontext technische oder organisatorische Schutzfunktionen, die in gelieferten Produkten, Systemen oder Diensten bereits vorgesehen sind, beispielsweise Verschlüsselungsfunktionen, Zugriffskontrollen oder Protokollierungsfunktionen. Ziel der Anforderung ist es, dass diese Schutzfunktionen von den Mitarbeitenden der Institution auch tatsächlich verstanden und korrekt angewandt werden. Ohne entsprechende Schulung könnte es passieren, dass vorhandene Sicherheitsfunktionen ungenutzt bleiben oder falsch bedient werden, wodurch Daten kompromittiert oder unbefugt zugänglich werden könnten. Durch gezielte Unterweisungen kann das Potenzial solcher Mechanismen ausgeschöpft und die Widerstandsfähigkeit gegenüber Angriffen oder Fehlbedienungen erhöht werden. Die Umsetzung kann pragmatisch gestaltet werden: (1) Eine Institution kann bei der Lieferung von IT-Systemen mit dem Hersteller oder Dienstleister eine kurze Einweisung in die sicherheitsrelevanten Funktionen vereinbaren, beispielsweise zur richtigen Konfiguration einer Multifaktor-Authentisierung. (2) Bei komplexeren Produkten kann die Institution Trainingsmaterialien wie Handbücher, Videos oder interaktive Tutorials anfordern, die auf den Einsatz der bereitgestellten Sicherheitsfunktionen zugeschnitten sind. (3) Zusätzlich kann es hilfreich sein, eine kurze Praxisübung im Rahmen der Abnahme durchzuführen, in der Schlüsselmechanismen wie sichere Passwortänderung oder Rechtevergabe ausprobiert werden. Die Schulung kann je nach Bedarf als Vor-Ort-Einweisung, Remote-Sitzung oder durch strukturierte E-Learning-Module erfolgen." + } + ] + }, + { + "id": "BES.5.8", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Rechte für geistges Eigentum", + "props": [ + { + "name": "alt-identifier", + "value": "fbf79e86-d03e-44bb-9fec-87ad6ade595c" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "parts": [ + { + "id": "BES.5.8_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Dienstleistungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Beschaffungskriterien" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "für geistiges Eigentum, das während der Vertragslaufzeit entwickelt wird, die Eigentumsrechte" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "vereinbaren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Beschaffungsmanagement für Dienstleistungen SOLLTE für geistiges Eigentum, das während der Vertragslaufzeit entwickelt wird, die Eigentumsrechte vereinbaren." + }, + { + "id": "BES.5.8_gdn", + "name": "guidance", + "prose": "Geistiges Eigentum meint hier alle während der Vertragslaufzeit entstehenden immateriellen Schutzgüter wie Softwarecode, Datenmodelle, Konzepte, technische Dokumentationen oder urheberrechtlich geschützte Inhalte, die im Rahmen der Dienstleistungserbringung entwickelt oder verbessert werden. Der Sinn und Zweck einer vertraglichen Regelung der Eigentumsrechte liegt darin, sicherzustellen, dass die Institution dauerhaft Kontrolle und Nutzungsrechte über Ergebnisse behält, die für ihren Betrieb oder ihre Weiterentwicklung relevant sind. Ohne klare Festlegung könnte es zu Konflikten kommen, wenn ein Dienstleister etwa nach Projektende die weitere Nutzung einer entwickelten Lösung untersagt oder hohe Lizenzgebühren verlangt; eine vertragliche Klarheit kann dagegen rechtliche Auseinandersetzungen und Abhängigkeiten verhindern. Eine Umsetzung kann über konkrete Vertragsklauseln erfolgen, die präzise definieren, welche Partei Eigentum oder Nutzungsrechte an entwickelten Ergebnissen erhält und ob bestimmte Elemente (z. B. Standardbibliotheken des Dienstleisters) ausgenommen sind. Dazu kann die Institution (1) standardisierte Vertragsvorlagen mit abgestuften Rechtemodellen nutzen, (2) ein internes Prüfschema für alle externen Verträge etablieren, das die Einbindung der Rechtsabteilung vorsieht, und (3) bei komplexen Entwicklungsleistungen technische Dokumentationspflichten verankern, damit Eigentums- und Nutzungsrechte nachvollziehbar abgesichert sind. Praktisch kann es helfen, im Vertrag eine Übergabepflicht sämtlicher Quelltexte, Dokumentationen oder Zugangsdaten vorzusehen und diese an definierte Projektmeilensteine zu koppeln." + } + ] + }, + { + "id": "BES.5.9", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Umgang mit Änderungen", + "props": [ + { + "name": "alt-identifier", + "value": "114cc12e-3b48-4632-ae06-d50a461dcd3a" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "parts": [ + { + "id": "BES.5.9_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Dienstleistungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Beschaffungskriterien" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Regelungen für den Umgang mit Änderungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "vereinbaren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Beschaffungsmanagement für Dienstleistungen SOLLTE Regelungen für den Umgang mit Änderungen vereinbaren." + }, + { + "id": "BES.5.9_gdn", + "name": "guidance", + "prose": "Unkontrollierte oder unklare Änderungen bringen Risiken für die Verfügbarkeit, Integrität oder Vertraulichkeit von Informationen mit sich – etwa wenn ein Dienstleister plötzlich eine neue Softwareversion einführt, ohne die Auswirkungen auf Schnittstellen zu prüfen. Vereinbarte Prozesse für den Umgang mit Änderungen können dagegen sicherstellen, dass Abhängigkeiten transparent bleiben und Risiken im Vorfeld bewertet werden. Zur Umsetzung kann eine Institution mit Dienstleistern definieren, dass Änderungen vorab angekündigt und dokumentiert werden, z. B. durch ein Ticket- oder Freigabe-System, das beide Seiten einsehen können. Es kann hilfreich sein, verschiedene Kategorien von Änderungen (z. B. Standardänderungen, Notfalländerungen, größere Releases) zu vereinbaren und abhängig von der Kritikalität unterschiedliche Prüf- und Genehmigungsschritte festzulegen. Transparenz kann durch regelmäßige Änderungsberichte oder Dashboards erreicht werden, die auch historische Änderungen nachvollziehbar machen. Praktische Maßnahmen können sein: (1) Einführung eines Test- und Abnahmefensters vor produktiven Änderungen, (2) Einsatz von Versionskontrolle oder Änderungsprotokollen, um Auswirkungen gezielt zurückverfolgen zu können, (3) Einrichtung klarer Kommunikationswege, damit die Institution rechtzeitig von geplanten Änderungen erfährt und eigene Schutzmaßnahmen – etwa zusätzliche Backups – vorbereiten kann." + } + ], + "controls": [ + { + "id": "BES.5.9.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Autorisierung von Änderungen", + "props": [ + { + "name": "alt-identifier", + "value": "a47e5549-802f-4d91-a69e-a537a813ba19" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "links": [ + { + "href": "#TEST.4.1", + "rel": "related" + } + ], + "parts": [ + { + "id": "BES.5.9.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Dienstleistungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Beschaffungskriterien" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Autorisierung von Änderungen durch den Auftraggeber" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "vereinbaren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Beschaffungsmanagement für Dienstleistungen KANN die Autorisierung von Änderungen durch den Auftraggeber vereinbaren." + }, + { + "id": "BES.5.9.1_gdn", + "name": "guidance", + "prose": "Die Autorisierung von Änderungen bedeutet in diesem Kontext, dass die Institution mit einem Dienstleister vereinbart, dass geplante Anpassungen – etwa an Prozessen, Konfigurationen, Infrastruktur oder Vertragsbedingungen die zur Vertragserfüllung verwendet werden– vor ihrer Umsetzung explizit durch den Auftraggeber bestätigt werden. Damit ist nicht nur die formale Vertragsänderung gemeint, sondern auch technische oder organisatorische Änderungen, die mittelbar Auswirkungen auf Sicherheit, Verfügbarkeit oder Integrität von Daten und Diensten haben können. Der Zweck dieser Regelung liegt darin, die Kontrolle über den Einflussbereich des Dienstleisters zu behalten: Ohne solche Vereinbarungen könnte ein Dienstleister eigenmächtig Anpassungen vornehmen, die unerwartete Schwachstellen einführen oder die Datenlokation verändern könnten. Zur Umsetzung kann die Institution mit dem Dienstleister praktikable Verfahren zur Änderungsfreigabe vereinbaren. Dies kann z. B. durch (1) die Einführung eines Freigabe-Workflows in einem Ticket- oder Change-Management-System erfolgen, (2) die Verpflichtung zu einer schriftlichen Änderungsmitteilung mit klaren Auswirkungen auf Sicherheit und Betrieb, sowie (3) die Festlegung, dass kritische Änderungen erst nach einer formellen Zustimmung des Auftraggebers in einem definierten Zeitfenster umgesetzt werden können. Ergänzend kann der Dienstleister angehalten werden, geplante Änderungen in einer Änderungsübersicht mit Versionsstand und Rückfalloptionen zu dokumentieren, sodass die Institution bewerten kann, ob Risiken oder Abhängigkeiten entstehen." + } + ] + } + ] + }, + { + "id": "BES.5.10", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Behandlung von Vorfällen", + "props": [ + { + "name": "alt-identifier", + "value": "61055c24-1924-4b3f-804c-d96e2a683821" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "parts": [ + { + "id": "BES.5.10_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Einkäufe" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Beschaffungskriterien" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Regelungen für die Behandlung von Vorfällen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "vereinbaren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Beschaffungsmanagement für Einkäufe SOLLTE Regelungen für die Behandlung von Vorfällen vereinbaren." + }, + { + "id": "BES.5.10_gdn", + "name": "guidance", + "prose": "Ein Vorfall bezeichnet in diesem Zusammenhang jedes sicherheitsrelevante Ereignis, das zu einer Beeinträchtigung der Vertraulichkeit, Integrität oder Verfügbarkeit von Informationen oder IT-Diensten führen kann, etwa Datenabflüsse, unbefugte Zugriffe oder längerfristige Systemausfälle. Der Sinn und Zweck der Regelung liegt darin, mit Vertragspartnern abgestimmte Verfahren zu haben, um im Ernstfall schnell und koordiniert reagieren zu können. Ohne klare Vereinbarungen könnte wertvolle Zeit verloren gehen, es könnten unklare Zuständigkeiten entstehen oder Meldungen verzögert erfolgen. Mit abgestimmten Prozessen kann dagegen die Schadensbegrenzung beschleunigt, Transparenz über den Vorfall geschaffen und eine wirksame Ursachenanalyse ermöglicht werden. Hierzu gehört insbesondere die Benachrichtigung des Vertragspartners und die Zusammenarbeit zur Behebung von Vorfällen." + } + ], + "controls": [ + { + "id": "BES.5.10.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Erreichbarkeit über Meldewege", + "props": [ + { + "name": "alt-identifier", + "value": "f2e723f5-6a1a-4358-bce2-458523049346" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "parts": [ + { + "id": "BES.5.10.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Einkäufe" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Beschaffungskriterien" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Erreichbarkeit des Lieferanten über bestimmte Meldewege" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "vereinbaren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Beschaffungsmanagement für Einkäufe SOLLTE die Erreichbarkeit des Lieferanten über bestimmte Meldewege vereinbaren." + }, + { + "id": "BES.5.10.1_gdn", + "name": "guidance", + "prose": "Die Meldewege bezeichnen in diesem Zusammenhang klar definierte Kommunikationskanäle, über die ein Lieferant zuverlässig erreichbar ist. Das kann beispielsweise eine dedizierte E-Mail-Adresse für Sicherheitsvorfälle, ein 24/7-Telefonkontakt, ein Ticket-System oder ein abgesicherter Webzugang sein. Der Sinn dieser Vereinbarung liegt darin, dass kritische Ereignisse, wie etwa ein entdeckter Datenabfluss oder technische Störungen in ausgelagerten Systemen, nicht ins Leere laufen. Ohne abgestimmte Erreichbarkeit könnte eine Meldung verzögert oder gar nicht ankommen, wodurch Schaden an vertraulichen Informationen unbemerkt bleiben könnte. Mit verbindlich vereinbarten Kanälen kann die Institution hingegen sicherstellen, dass relevante Informationen zeitnah und nachweisbar beim Lieferanten ankommen und bearbeitet werden. Die Umsetzung dieser Anforderung kann durch mehrere Maßnahmen unterstützt werden: (1) Eine Institution kann im Vertrag mit dem Lieferanten eine feste Ansprechstelle und Eskalationsstufen für bestimmte Ereignisse benennen lassen. (2) Es kann ein technischer Meldeweg wie ein verschlüsseltes E-Mail-Postfach oder ein Ticketportal vorgesehen werden, das eindeutig den Zweck \"Sicherheitsvorfälle\" trägt und regelmäßig überwacht wird." + } + ] + }, + { + "id": "BES.5.10.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Melden von Vorfällen", + "props": [ + { + "name": "alt-identifier", + "value": "d359fe31-8bf1-47ae-bbcc-e572b1998d52" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "parts": [ + { + "id": "BES.5.10.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Einkäufe" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Beschaffungskriterien" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine Verpflichtung zur unverzüglichen Information des Auftraggebers über ihn betreffende Vorfälle" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "vereinbaren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Beschaffungsmanagement für Einkäufe SOLLTE eine Verpflichtung zur unverzüglichen Information des Auftraggebers über ihn betreffende Vorfälle vereinbaren." + }, + { + "id": "BES.5.10.2_gdn", + "name": "guidance", + "prose": "Der Sinn dieser Regelung liegt darin, dass der Auftraggeber seine Handlungsfähigkeit behält und Risiken frühzeitig einschätzen kann. Ein verzögerter Informationsfluss könnte dazu führen, dass Schäden sich unbemerkt ausweiten oder notwendige Reaktionen, wie etwa die Unterbindung von Angriffspfaden, verspätet erfolgen. Eine rechtzeitige Mitteilung kann hingegen Transparenz schaffen und es ermöglichen, dass Gegenmaßnahmen in Koordination mit dem Auftraggeber wirksam eingeleitet werden. Die praktische Umsetzung kann durch klare vertragliche Regelungen erfolgen, in denen Eskalationswege und Fristen für Meldungen definiert werden. Dazu kann ein gemeinsames Kontakt- und Kommunikationsverfahren etabliert werden, etwa ein 24/7 erreichbarer Ansprechpartner oder eine dedizierte Notfalladresse für sicherheitsrelevante Meldungen. Technisch kann eine Schnittstelle (z. B. ein abgesicherter Meldekanal oder Ticket-System) eingerichtet werden, über die Vorfälle dokumentiert und weitergeleitet werden können." + } + ] + }, + { + "id": "BES.5.10.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Schwachstellenbehebung", + "props": [ + { + "name": "alt-identifier", + "value": "d7946adc-4cf2-4fc9-aad7-9d43c6855384" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "parts": [ + { + "id": "BES.5.10.3_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Einkäufe" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Beschaffungskriterien" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine Verpflichtung für Lieferanten, die den Auftraggeber betreffende Schwachstelle zeitnah zu beheben," + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "vereinbaren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Beschaffungsmanagement für Einkäufe SOLLTE eine Verpflichtung für Lieferanten, die den Auftraggeber betreffende Schwachstelle zeitnah zu beheben, vereinbaren." + }, + { + "id": "BES.5.10.3_gdn", + "name": "guidance", + "prose": "Die Verpflichtung bezieht sich hierbei auf die gesamte Lebensdauer der Dienstleistungen oder Produkte. Je nach Vertrag kann die Behebung von Schwachstellen z.B. durch Sicherheitsupdates oder den Austausch von Komponenten gewährleistet werden." + } + ], + "controls": [ + { + "id": "BES.5.10.3.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Schwachstellenmeldeprozess", + "params": [ + { + "id": "bes.5.10.3.1-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "ebc08e41-e728-4447-93fa-233fbad7f2fa" + } + ], + "label": "einem anerkannten Standard" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "ebc08e41-e728-4447-93fa-233fbad7f2fa" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "parts": [ + { + "id": "BES.5.10.3.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Produkte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Beschaffungskriterien" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "einen Schwachstellenmeldeprozess" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "nach {{einem anerkannten Standard}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "vereinbaren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Beschaffungsmanagement für IT-Produkte KANN einen Schwachstellenmeldeprozess nach {{ insert: param, bes.5.10.3.1-prm1 }} vereinbaren." + }, + { + "id": "BES.5.10.3.1_gdn", + "name": "guidance", + "prose": "Die Anforderung ist erfüllt, wenn der Prozess zur Meldung und Behandlung von Schwachstellen für das zu beschaffende Produkt vertraglich zugesichert ist, unabhängig von der Frage durch wen die Klausel in den Vertrag eingebracht wurde. Der Schwachstellenmeldeprozess kann direkt durch den Lieferanten oder durch Weitergabe der Verpflichtung an den Hersteller gewährleistet sein. Für Details siehe BSI TR-03183-3." + } + ] + } + ] + }, + { + "id": "BES.5.10.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Konfliktlösungsprozesse", + "props": [ + { + "name": "alt-identifier", + "value": "3535784d-dd78-4fd2-be25-4a2e183087b2" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten, Exit-Strategie" + } + ], + "parts": [ + { + "id": "BES.5.10.4_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Einkäufe" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Beschaffungskriterien" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Prozesse zur Lösung von Konflikten zwischen den Vertragsparteien" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "vereinbaren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Beschaffungsmanagement für Einkäufe KANN Prozesse zur Lösung von Konflikten zwischen den Vertragsparteien vereinbaren." + }, + { + "id": "BES.5.10.4_gdn", + "name": "guidance", + "prose": "Ein „Konflikt zwischen den Vertragsparteien“ bedeutet hier jede Form von Uneinigkeit, die im Zuge eines Vertragsverhältnisses auftreten kann – etwa über die Auslegung von Leistungszusagen, den Umgang mit Verzögerungen, Qualitätsabweichungen oder Verantwortlichkeiten bei Sicherheitsvorfällen. Solche Konfliktlösungsprozesse können helfen, Missverständnisse strukturiert zu klären und Rechtsstreitigkeiten vorzubeugen. Das Ziel der Anforderung ist es, Risiken durch unklare Verantwortlichkeiten und eskalierende Streitigkeiten zu verringern: Ein ungelöster Konflikt könnte dazu führen, dass sicherheitsrelevante Leistungen nicht rechtzeitig erbracht werden, Vertragsinhalte unterschiedlich interpretiert werden oder sensible Daten im Streitfall unkontrolliert preisgegeben werden. Umgekehrt kann eine klar geregelte Konfliktlösungsroutine Transparenz schaffen, die Handlungsfähigkeit der Institution sichern und einen fairen Interessenausgleich fördern. Praktisch umgesetzt werden kann dies durch verschiedene Maßnahmen: (1) In Verträgen kann eine Schlichtungsklausel vorgesehen werden, die definiert, dass bei Meinungsverschiedenheiten zunächst ein moderiertes Gespräch oder ein Mediationsverfahren durchgeführt werden kann. (2) Es kann hilfreich sein, feste Eskalationspfade zu vereinbaren, zum Beispiel mit einer dreistufigen Struktur aus Projektleitung, Management-Ebene und unabhängiger Stelle. (3) Die Institution kann Checklisten nutzen, um im Konfliktfall die relevanten Dokumentationen – etwa Leistungsnachweise oder Kommunikationsprotokolle – geordnet vorzulegen. (4) Technische Hilfen wie gemeinsame Ticket- oder Kollaborationssysteme können Transparenz schaffen und verhindern, dass Konflikte durch unklare Informationslagen eskalieren." + } + ] + }, + { + "id": "BES.5.10.5", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Konsequenzen bei Verstößen", + "props": [ + { + "name": "alt-identifier", + "value": "119a13e9-ea12-41a3-a974-2d1cba295fb8" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten, Exit-Strategie" + } + ], + "parts": [ + { + "id": "BES.5.10.5_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Einkäufe" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Beschaffungskriterien" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Abhilfemaßnahmen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "für den Fall von Verstößen durch den Lieferanten" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "vereinbaren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Beschaffungsmanagement für Einkäufe KANN Abhilfemaßnahmen für den Fall von Verstößen durch den Lieferanten vereinbaren." + }, + { + "id": "BES.5.10.5_gdn", + "name": "guidance", + "prose": "Hierzu können Abhilfemaßnahmen wie die Abschaltung angreifbarer Systeme, die Information betroffener Personen sowie Entschädigungen für die betroffene Institution oder betroffene Dritte in einer festgelegten Höhe gehören." + } + ] + } + ] + }, + { + "id": "BES.5.11", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Recht auf Audit", + "props": [ + { + "name": "alt-identifier", + "value": "4725e406-7802-4a0a-98a5-2195ba2d26d1" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "parts": [ + { + "id": "BES.5.11_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Outsourcing" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Beschaffungskriterien" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "ein Recht des Auftraggebers zur Überprüfung der Sicherheitsprozesse und -maßnahmen," + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die im Zusammenhang mit dem Vertrag stehen," + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "vereinbaren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Beschaffungsmanagement für Outsourcing SOLLTE ein Recht des Auftraggebers zur Überprüfung der Sicherheitsprozesse und -maßnahmen, die im Zusammenhang mit dem Vertrag stehen, vereinbaren." + }, + { + "id": "BES.5.11_gdn", + "name": "guidance", + "prose": "Je nach Vereinbarung kann die Umsetzung durch ein vom Auftraggeber durchgeführtes Audit, eine Revision (Second Party Audit) oder eine Auditierung durch Dritte (Third Party Audit), z.B. im Rahmen einer Zertifizierung, erfolgen." + } + ] + }, + { + "id": "BES.5.12", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Informationspflichten", + "props": [ + { + "name": "alt-identifier", + "value": "24f08281-8abf-4a70-8502-72b86f1ca02a" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "parts": [ + { + "id": "BES.5.12_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Dienstleistungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Beschaffungskriterien" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine Pflicht des Lieferanten, den Auftraggeber regelmäßig über die Wirksamkeit der Sicherheitsmaßnahmen zu informieren," + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "vereinbaren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Beschaffungsmanagement für Dienstleistungen SOLLTE eine Pflicht des Lieferanten, den Auftraggeber regelmäßig über die Wirksamkeit der Sicherheitsmaßnahmen zu informieren, vereinbaren." + }, + { + "id": "BES.5.12_gdn", + "name": "guidance", + "prose": "Im konkreten Kontext bedeutet Wirksamkeit, dass die vereinbarten Sicherheitsmaßnahmen des Lieferanten nicht nur formal existieren, sondern nachweislich den angestrebten Schutzzweck erfüllen – beispielsweise durch messbare Ergebnisse, dokumentierte Prüfberichte oder Nachweise aus internen Kontrollen. Der Auftraggeber ist hierbei die Institution, die eine Dienstleistung einkauft und deren Informationswerte geschützt werden sollen, während der Lieferant der erbringende externe Dienstleister ist, dessen Sicherheitspraktiken Einfluss auf diese Informationswerte haben. Regelmäßige Informationen können etwa Statusberichte, Prüfprotokolle oder Kennzahlen zu Sicherheitsvorfällen und deren Behandlung umfassen." + } + ] + }, + { + "id": "BES.5.13", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Bereitstellung von Datensicherungen", + "props": [ + { + "name": "alt-identifier", + "value": "25e60ed2-9a85-4d03-be14-050253846f38" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "parts": [ + { + "id": "BES.5.13_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Dienstleistungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Beschaffungskriterien" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine Verpflichtung des Lieferanten, Sicherungskopien regelmäßig bereitzustellen," + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "vereinbaren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Beschaffungsmanagement für Dienstleistungen SOLLTE eine Verpflichtung des Lieferanten, Sicherungskopien regelmäßig bereitzustellen, vereinbaren." + }, + { + "id": "BES.5.13_gdn", + "name": "guidance", + "prose": "Der Zweck dieser Anforderung liegt in der Absicherung gegen Datenverlust durch technische Defekte, menschliche Fehler oder Schadsoftware. Ein fehlendes Backup könnte dazu führen, dass wichtige Kundendaten, Vertragsunterlagen oder Konfigurationsstände dauerhaft verloren gehen. Durch die vertragliche Verpflichtung zur Bereitstellung von Sicherungskopien kann die Institution ihre Datenhoheit behalten und Ausfälle oder Manipulationen deutlich schneller abfangen. Die Umsetzung kann beispielsweise so erfolgen, dass der Lieferant verpflichtet wird, Backups auf einem separaten, verschlüsselten Speichermedium bereitzustellen, welches der Institution in vereinbarten Intervallen übergeben wird. Zur Umsetzung kann ein Lieferant beispielsweise quartalsweise Berichte zu durchgeführten Penetrationstests, Schwachstellen-Scans oder Notfallübungen bereitstellen. Ebenso kann er standardisierte Dashboards mit Kennzahlen zu Sicherheitsvorfällen, Patchständen oder Awareness-Maßnahmen freigeben. Hilfreich kann auch sein, dass der Lieferant auf Anfrage gezielt Audit-Reports oder Zertifikate (z. B. SOC-2-Berichte, ISO 27001-Auditberichte) zur Verfügung stellt." + } + ], + "controls": [ + { + "id": "BES.5.13.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Datenbereitstellung", + "props": [ + { + "name": "alt-identifier", + "value": "8efd929d-ccc8-422f-b5ae-915fbfc41ddc" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "parts": [ + { + "id": "BES.5.13.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Outsourcing" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Beschaffungskriterien" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Bereitstellung der beim Dienstleister verarbeiteten Daten in einem standardisierten Format" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "vereinbaren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Beschaffungsmanagement für Outsourcing KANN die Bereitstellung der beim Dienstleister verarbeiteten Daten in einem standardisierten Format vereinbaren." + }, + { + "id": "BES.5.13.1_gdn", + "name": "guidance", + "prose": "Kann das Risiko verringern, dass im Falle eines Anbieterwechsels, einer Vertragsbeendigung oder einer Notfallwiederherstellung Daten nur in proprietären oder unvollständig dokumentierten Formaten vorliegen. Ohne ein solches Format könnte eine Institution vor dem Problem stehen, dass bei einem unerwarteten Ausfall des Dienstleisters die Daten erst zeitaufwendig konvertiert werden müssen, was den Geschäftsbetrieb verzögert oder kritische Prozesse unterbricht." + } + ] + } + ] + }, + { + "id": "BES.5.14", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Löschregeln", + "props": [ + { + "name": "alt-identifier", + "value": "b75b1a85-9a93-4f76-a9c4-846a0409490e" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "links": [ + { + "href": "#BES.6.2", + "rel": "related" + } + ], + "parts": [ + { + "id": "BES.5.14_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Outsourcing" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Beschaffungskriterien" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Löschung von Daten während der Vertragslaufzeit im Einklang mit den Compliance-Verpflichtungen der Institution" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "vereinbaren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Beschaffungsmanagement für Outsourcing SOLLTE die Löschung von Daten während der Vertragslaufzeit im Einklang mit den Compliance-Verpflichtungen der Institution vereinbaren." + }, + { + "id": "BES.5.14_gdn", + "name": "guidance", + "prose": "Compliance-Verpflichtungen werden in der Praktik GC ermittelt. Die Umsetzung kann z.B. durch individuelle vertragliche Festlegung oder durch die Auswahl eines Dienstleisters, dessen Löschregelungen im Einklang mit den Compliance-Verpflichtungen stehen, erfolgen." + } + ] + } + ] + }, + { + "id": "BES.6", + "title": "Auswahl von Produkten und Dienstleistungen - Kündigung", + "props": [ + { + "name": "label", + "value": "6" + }, + { + "name": "alt-identifier", + "value": "32e31c52-6cef-4f86-95e0-84cb877f558a" + } + ], + "controls": [ + { + "id": "BES.6.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Entziehung der Zugangsberechtigungen", + "props": [ + { + "name": "alt-identifier", + "value": "0e6eb46f-3941-4f64-9fd6-709517a01ad1" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten, Exit-Strategie" + } + ], + "links": [ + { + "href": "#DLS.4.1", + "rel": "related" + } + ], + "parts": [ + { + "id": "BES.6.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Dienstleistungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Beschaffungskriterien" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Entziehung der für den Vertrag relevanten Zugangsberechtigungen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "für den Fall einer Kündigung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "vereinbaren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Beschaffungsmanagement für Dienstleistungen SOLLTE die Entziehung der für den Vertrag relevanten Zugangsberechtigungen für den Fall einer Kündigung vereinbaren." + }, + { + "id": "BES.6.1_gdn", + "name": "guidance", + "prose": "„Zugangsberechtigungen“ meint hier die Gesamtheit aller physischen, logischen und administrativen Rechte, die externen Dienstleistern den Zugriff auf Systeme, Daten, Gebäude oder digitale Ressourcen der Institution ermöglichen. Dazu gehören sowohl Benutzerkonten und technische Schnittstellen als auch Zutrittskarten oder Remote-Zugänge über VPN. Der Sinn und Zweck der Vorschrift liegt darin, dass unautorisierte Zugriffe nach einer Vertragsbeendigung verhindert werden können. Ein ehemaliger Dienstleister könnte ansonsten weiterhin über aktive Accounts sensible Daten einsehen oder Systeme manipulieren, was zu Datenabfluss, Sabotage oder unbemerkten Veränderungen führen könnte." + } + ] + }, + { + "id": "BES.6.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Löschung von Daten", + "props": [ + { + "name": "alt-identifier", + "value": "90d55cb8-c0ff-4805-8b45-77aac247c786" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten, Exit-Strategie" + } + ], + "links": [ + { + "href": "#BES.5.14", + "rel": "related" + } + ], + "parts": [ + { + "id": "BES.6.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Dienstleistungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Beschaffungskriterien" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Löschung aller beim Dienstleister vorhandenen Daten" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "für den Fall einer Kündigung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "vereinbaren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Beschaffungsmanagement für Dienstleistungen SOLLTE die Löschung aller beim Dienstleister vorhandenen Daten für den Fall einer Kündigung vereinbaren." + }, + { + "id": "BES.6.2_gdn", + "name": "guidance", + "prose": "Kündigung meint hier sowohl ordentliche als auch außerordentliche Kündigungen. Hierzu können z.B. die Rückgabe von Authentifizierungstoken oder Löschung aller Auftraggeberdaten nach Ablauf der gesetzlichen Aufbewahrungsfristen gehören. Relevant sind dabei neben Inhaltsdaten auch Metadaten, Lizenzen und weitere Zugriffsrechte." + } + ], + "controls": [ + { + "id": "BES.6.2.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Löschverfahren", + "props": [ + { + "name": "alt-identifier", + "value": "d0ba4d21-940d-4b06-b446-aeccfdb2b53a" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten, Exit-Strategie" + } + ], + "links": [ + { + "href": "#ASST.7.3.2", + "rel": "related" + } + ], + "parts": [ + { + "id": "BES.6.2.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Dienstleistungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Beschaffungskriterien" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "ein Verfahren zur nicht wiederherstellbaren Löschung" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "für den Fall einer Kündigung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "vereinbaren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Beschaffungsmanagement für Dienstleistungen KANN ein Verfahren zur nicht wiederherstellbaren Löschung für den Fall einer Kündigung vereinbaren." + }, + { + "id": "BES.6.2.1_gdn", + "name": "guidance", + "prose": "Ein Verfahren zur nicht wiederherstellbaren Löschung bedeutet in diesem Kontext, dass Daten nach Beendigung einer Dienstleistungsbeziehung so entfernt werden, dass auch mit spezialisierten forensischen Methoden keine Rekonstruktion mehr möglich ist. Typische Verfahren reichen von mehrfachen Überschreibungen mit Zufallswerten über kryptographisches Löschen (Zerstörung der Schlüssel, die zur Entschlüsselung notwendig wären) bis hin zur physikalischen Zerstörung der Speichermedien. Die Regelung zielt darauf ab, das Risiko zu mindern, dass vertrauliche Daten nach einer Vertragskündigung bei einem Dienstleister verbleiben und unbefugt genutzt oder versehentlich offengelegt werden könnten. Ein Datenleck nach einem Providerwechsel könnte beispielsweise zu Identitätsdiebstahl, Industriespionage oder Reputationsschäden führen. Die Vereinbarung einer sicheren, nicht wiederherstellbaren Löschung kann sicherstellen, dass Informationen tatsächlich entfernt sind und keine Restkopien unkontrolliert in Umlauf geraten." + } + ] + } + ] + }, + { + "id": "BES.6.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Übertragbarkeit von Daten", + "props": [ + { + "name": "alt-identifier", + "value": "4e0fd86f-d5b5-41a8-a25d-0a61630fc37c" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten, Exit-Strategie" + } + ], + "links": [ + { + "href": "#BES.5.13.1", + "rel": "related" + } + ], + "parts": [ + { + "id": "BES.6.3_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Dienstleistungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Beschaffungskriterien" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Übertragbarkeit von Daten, Konfigurationen und der Funktionalität" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "für den Fall einer Kündigung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "vereinbaren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Beschaffungsmanagement für Dienstleistungen SOLLTE die Übertragbarkeit von Daten, Konfigurationen und der Funktionalität für den Fall einer Kündigung vereinbaren." + }, + { + "id": "BES.6.3_gdn", + "name": "guidance", + "prose": "Ohne eine solche Regelung kann es zu erheblichen Betriebsstörungen kommen, etwa wenn ein Dienstleister im Streitfall Daten nur in proprietären Formaten bereitstellt oder deren Übergabe verzögert. Dies könnte dazu führen, dass eine Institution den Betrieb nicht nahtlos mit einem neuen Anbieter fortsetzen kann, etwa bei Cloud-Diensten, Hosting oder SaaS-Lösungen. Auch kann der Verlust von Metadaten, Zugriffshistorien oder Konfigurationsdateien eintreten, was die Nachvollziehbarkeit und Funktionsfähigkeit stark einschränken könnte. Unter „Übertragbarkeit von Daten“ (Data Portability) versteht man in diesem Kontext die technische und organisatorische Fähigkeit, alle relevanten Daten in einem vollständigen, strukturierten und maschinenlesbaren Format an die Institution oder einen Nachfolger zu übertragen. Es geht dabei nicht nur um die Rohdaten, sondern auch um begleitende Informationen, die für die Wiederaufnahme des Betriebs an anderer Stelle erforderlich sind (Metadaten). Die Angemessenheit dieser Maßnahme bemisst sich daran, wie stark die Tätigkeit der Institution von den ausgelagerten Prozessen abhängt und wie groß die Auswirkungen einer verzögerten oder unvollständigen Rückgabe wären." + } + ] + }, + { + "id": "BES.6.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Übertragung von Supportdienstleistungen", + "props": [ + { + "name": "alt-identifier", + "value": "4a487564-f53e-420d-bcc3-e7e35edcf162" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten, Exit-Strategie" + } + ], + "links": [ + { + "href": "#DLS.4.1", + "rel": "related" + } + ], + "parts": [ + { + "id": "BES.6.4_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Dienstleistungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Beschaffungskriterien" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Übergabe der Supportdienstleistungen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "für den Fall einer Kündigung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "vereinbaren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Beschaffungsmanagement für Dienstleistungen KANN die Übergabe der Supportdienstleistungen für den Fall einer Kündigung vereinbaren." + }, + { + "id": "BES.6.4_gdn", + "name": "guidance", + "prose": "Die Übergabe der Supportdienstleistungen beschreibt in diesem Kontext die geordnete und dokumentierte Weitergabe von relevanten Informationen, Ressourcen und Zugängen durch einen externen Dienstleister an die Institution oder einen neuen Dienstleister, wenn ein Vertrag endet. Dazu gehören z. B. Dokumentationen zu Konfigurationen, Wartungsprotokolle, Zugangsdaten, Lizenzinformationen oder Ansprechpartnerketten. Ziel ist es, dass der Betrieb der unterstützten Systeme nach Vertragsende ohne Unterbrechung oder Informationsverlust fortgesetzt werden kann. Die Anforderung dient dazu, Risiken abzufedern, die entstehen, wenn bei einer Kündigung der Dienstleister abrupt ausscheidet. Ohne geregelte Übergabe könnte es passieren, dass wichtige Betriebsinformationen verloren gehen, der Zugriff auf Systeme blockiert wird oder die Institution abhängig von individuellem Wissen einzelner Personen bleibt. Die Übergabe kann entweder an die Institution selbst oder an einen von der Institution gewählten neuen Vertragspartner erfolgen. Um die Anforderung praktisch umzusetzen, kann eine Institution in Verträgen explizit eine Exit- oder Übergabeklausel verankern, die Inhalte, Formate und Fristen der Übergabe beschreibt. Diese Klausel kann beispielsweise definieren, dass (1) aktuelle System- und Betriebsdokumentationen vollständig zu übergeben sind, (2) Zugangsdaten in einem abgestimmten Verfahren gesichert bereitgestellt werden und (3) technische Ansprechpartner für eine Übergangsphase verfügbar bleiben." + } + ] + }, + { + "id": "BES.6.5", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Behandlung aufzubewahrender Aufzeichnungen", + "props": [ + { + "name": "alt-identifier", + "value": "a397ee7e-3766-4454-9805-c2b31ffcb80e" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten, Exit-Strategie" + } + ], + "parts": [ + { + "id": "BES.6.5_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Dienstleistungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Beschaffungskriterien" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Kontrollmechanismen zur Behandlung aufzubewahrender Aufzeichnungen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "für den Fall einer Kündigung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "vereinbaren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Beschaffungsmanagement für Dienstleistungen SOLLTE Kontrollmechanismen zur Behandlung aufzubewahrender Aufzeichnungen für den Fall einer Kündigung vereinbaren." + }, + { + "id": "BES.6.5_gdn", + "name": "guidance", + "prose": "Der Begriff Kontrollmechanismen kann in diesem Kontext verstanden werden als vertraglich vereinbarte Verfahren, technische Maßnahmen oder organisatorische Vorkehrungen, die es der Institution ermöglichen, die Vollständigkeit, Integrität und Vertraulichkeit der betreffenden Aufzeichnungen sicherzustellen. Aufzubewahrende Aufzeichnungen bezeichnet hierbei jede Form von Daten oder Dokumenten – in physischer oder digitaler Form – die aufgrund gesetzlicher, vertraglicher oder interner Vorgaben über das Vertragsende hinaus (zumindest für einen bestimmten Zeitraum) vom Dienstleister aufbewahrt werden. Dabei kann es sich beispielsweise um Vertragsunterlagen, Protokolldateien oder Gesprächsprotokolle handeln, die etwa aus steuerlichen Gründen aufzubewahren sind." + } + ] + }, + { + "id": "BES.6.6", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Rückgewähr von Assets", + "props": [ + { + "name": "alt-identifier", + "value": "005f0ce7-9372-49b6-b78b-c09a5e2f56f0" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten, Exit-Strategie" + } + ], + "links": [ + { + "href": "#DLS.4.1", + "rel": "related" + } + ], + "parts": [ + { + "id": "BES.6.6_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Dienstleistungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Beschaffungskriterien" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Rückgewähr von Assets" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "für den Fall einer Kündigung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "vereinbaren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Beschaffungsmanagement für Dienstleistungen SOLLTE die Rückgewähr von Assets für den Fall einer Kündigung vereinbaren." + }, + { + "id": "BES.6.6_gdn", + "name": "guidance", + "prose": "Rückgewähr bedeutet hier, dass sämtliche von der Institution bereitgestellte Werte – wie etwa IT-Systeme, Datenträger oder Papierkopien – bei Beendigung des Vertragsverhältnisses an die Institution zurückgegeben werden. Der Zweck liegt darin, unkontrollierten Weitergebrauch oder Missbrauch von Informationen und Ressourcen zu verhindern. So könnte etwa ein externer Dienstleister nach einer Kündigung weiterhin Zugriff auf sensible Daten behalten oder unbeabsichtigt alte Backup-Medien in seinem Besitz behalten, was zu Datenabflüssen oder unautorisierten Offenlegungen führen könnte. Eine klare Regelung kann dagegen sicherstellen, dass sämtliche Ressourcen nachvollziehbar wieder unter die alleinige Kontrolle der Institution gelangen und Vertraulichkeit sowie Integrität gewahrt bleiben. Für die Umsetzung kann es hilfreich sein, die Rückgabepflicht vertraglich zu konkretisieren und präzise Abläufe zu definieren. So kann die Institution (1) Inventarlisten führen, in denen alle übergebenen physischen Geräte, Datenträger oder Zutrittsmedien eindeutig aufgeführt werden, (2) Checklisten für die geordnete Rückführung bei Vertragsende einsetzen und (3) eine Rückgabequittung oder Übergabebestätigung durch den Dienstleister einfordern, die den ordnungsgemäßen Erhalt dokumentiert. Ergänzend kann die Institution Rückgabefristen und Verantwortlichkeiten im Vertrag festlegen sowie technische Maßnahmen wie die Sperrung von verlorenen oder nicht zurückgegebenen Zutrittskarten einplanen. Auch kann eine Abnahmeprüfung der zurückgegebenen Assets durch die Institution erfolgen, um sicherzustellen, dass diese vollständig und funktionsfähig übergeben wurden." + } + ] + } + ] + }, + { + "id": "BES.7", + "title": "Abnahme", + "props": [ + { + "name": "label", + "value": "7" + }, + { + "name": "alt-identifier", + "value": "1e7fd1c1-d45f-48c1-a3db-8ad9c9e9cf52" + } + ], + "controls": [ + { + "id": "BES.7.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Eingangskontrolle", + "params": [ + { + "id": "bes.7.1-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "abea6f59-f58b-47c3-b908-7ae68410fde3" + } + ], + "label": "Kriterien zur Akzeptanz" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "abea6f59-f58b-47c3-b908-7ae68410fde3" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "parts": [ + { + "id": "BES.7.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Einkäufe" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Abnahmeprotokoll" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "erbrachte oder gelieferte Leistungen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "anhand von {{Kriterien zur Akzeptanz}} vor der ersten Verwendung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "testen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Beschaffungsmanagement für Einkäufe SOLLTE erbrachte oder gelieferte Leistungen anhand von {{ insert: param, bes.7.1-prm1 }} vor der ersten Verwendung testen." + }, + { + "id": "BES.7.1_gdn", + "name": "guidance", + "prose": "Durch eine Prüfung anhand von Akzeptanzkriterien wird sichergestellt, dass die erbrachten Dienstleistungen oder IT-Produkte den geforderten Beschaffungskriterien entsprechen. Die Akzeptanzkriterien können also den Beschaffungskriterien entsprechen oder deren Prüfung konkretisieren. Hierzu können verschiedene Methoden eingesetzt werden, etwa Stichproben, Sicherheitstests oder die Nachverfolgung der Lieferkette anhand von Seriennummern. Dabei besteht ein enger Zusammenhang zu den Praktiken Dienstleistersteuerung, sowie Änderungen und Tests." + } + ], + "controls": [ + { + "id": "BES.7.1.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Test der Kompatibilität", + "props": [ + { + "name": "alt-identifier", + "value": "a2157baa-d3d7-4527-a9e9-7325a2b7b9ff" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "parts": [ + { + "id": "BES.7.1.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Outsourcing" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Abnahmeprotokoll" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Kompatibilität des Dienstes mit dem Informationsverbund" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "im Hinblick auf die Schnittstellen, die Netzanbindung, das Administrationsmodell und das Datenmanagementmodell" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "testen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Beschaffungsmanagement für Outsourcing SOLLTE die Kompatibilität des Dienstes mit dem Informationsverbund im Hinblick auf die Schnittstellen, die Netzanbindung, das Administrationsmodell und das Datenmanagementmodell testen." + }, + { + "id": "BES.7.1.1_gdn", + "name": "guidance", + "prose": "Die Regelung dient dazu, ungewollte Brüche oder Inkompatibilitäten zu vermeiden, die im Betrieb zu Sicherheits- oder Funktionsproblemen führen können. Ohne eine solche Überprüfung könnte z. B. eine unklare Rechtevergabe dazu führen, dass ein Dienstleister umfassendere Zugriffe erhält als notwendig, oder eine fehlerhafte Schnittstellenintegration könnte den Ausfall wichtiger Anwendungen nach sich ziehen. Umgekehrt kann eine saubere Prüfung sicherstellen, dass Outsourcing-Dienste nahtlos integriert, technisch handhabbar und im Betrieb kontrollierbar bleiben. Für die Bewertung der Kompatibilität sind dabei vier Aspekte besonders kritisch: Schnittstellen sind die technischen Übergabepunkte, an denen Systeme Daten austauschen oder Funktionen ansprechen; Netzanbindung bezeichnet die physische oder logische Verbindung zwischen dem Dienstleister und dem Informationsverbund der Institution; das Administrationsmodell beschreibt, wer welche Rechte zur Einrichtung, Änderung und Überwachung von Systemkomponenten hat; und das Datenmanagementmodell legt fest, wie Daten gespeichert, strukturiert, repliziert und gelöscht werden." + } + ] + }, + { + "id": "BES.7.1.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Netzcheck", + "props": [ + { + "name": "alt-identifier", + "value": "2e2346ed-c3fd-4c96-89f7-7ed920eb8d1a" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "parts": [ + { + "id": "BES.7.1.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Outsourcing" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Abnahmeprotokoll" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Umsetzung der geforderten Beschaffungskriterien für die Netzanbindung" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "vor der Netzanbindung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "testen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Beschaffungsmanagement für Outsourcing SOLLTE die Umsetzung der geforderten Beschaffungskriterien für die Netzanbindung vor der Netzanbindung testen." + }, + { + "id": "BES.7.1.2_gdn", + "name": "guidance", + "prose": "Netzanbindung meint hier jede Form der logischen oder physischen Kopplung von Netzwerken – etwa über VPN, MPLS, dedizierte Leitungen oder Cloud-Interconnects. Der Sinn dieser Vorschrift liegt darin, Risiken aus unsicheren oder ungetesteten Dienstleisterverbindungen zu minimieren. So könnte ein ungeprüfter Zugang über eine unsauber konfigurierte VPN-Schnittstelle Schadsoftware einschleusen oder interne Systeme unautorisiert zugänglich machen. Umgekehrt kann die vorgelagerte Prüfung sicherstellen, dass Verschlüsselung, Bandbreite, Trennung sensibler Netze oder auch Logging-Vorgaben wie vorgesehen funktionieren und dadurch ein sicherer, nachvollziehbarer Betrieb gewährleistet wird. Die Umsetzung kann durch mehrere Maßnahmen erfolgen: (1) Vor der Inbetriebnahme kann ein technischer Funktionstest durchgeführt werden, bei dem Firewalls, Routing und VPN-Tunnel anhand von Testaccounts überprüft werden. (2) Ein Abnahmetest durch die Institution kann beinhalten, dass simulierte Angriffe oder Fehlkonfigurationen (z. B. offene Ports) nachgestellt werden, um die Widerstandsfähigkeit des Dienstleisters zu prüfen. (3) Prozessual kann eine Checkliste genutzt werden, die verbindlich vorgibt, dass Sicherheitsanforderungen wie Verschlüsselungsstandards, Protokollierung, Redundanz oder die Einhaltung von Latenzgrenzen dokumentiert und validiert sind, bevor der „Go-Live“ erfolgt. Zusätzlich kann es hilfreich sein, die Ergebnisse der Tests nachvollziehbar in einem Freigabeprotokoll festzuhalten, das sowohl die Institution als auch der Dienstleister unterzeichnen. Auf diese Weise kann die Institution sicherstellen, dass die Netzanbindung nicht nur formell, sondern auch praktisch den definierten Kriterien entspricht." + } + ] + } + ] + }, + { + "id": "BES.7.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Prozesse vor Netzanbindung", + "props": [ + { + "name": "alt-identifier", + "value": "1421e376-1f13-4381-a30f-597ec113d205" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "links": [ + { + "href": "#TEST.1.1", + "rel": "related" + } + ], + "parts": [ + { + "id": "BES.7.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Outsourcing" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Abnahmeprotokoll" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "vor Anbindung des Datennetzes der Nutzenden an das Datennetz der Anbietenden alle sicherheitsrelevanten Maßnahmen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "im Einklang mit den Regelungen und Verfahren des Managementsystems" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Beschaffungsmanagement für Outsourcing SOLLTE vor Anbindung des Datennetzes der Nutzenden an das Datennetz der Anbietenden alle sicherheitsrelevanten Maßnahmen im Einklang mit den Regelungen und Verfahren des Managementsystems verankern." + }, + { + "id": "BES.7.2_gdn", + "name": "guidance", + "prose": "Der Sinn der Vorschrift liegt darin, Risiken durch unkontrollierte Netzwerkanbindungen zu minimieren, die bei Outsourcing deutlich höher sind als bei Standard-Dienstleistungsverträgen. Ohne vorherige Verankerung von Prozessen und technischen Lösungen, die für die sichere Anbindung zum Outsourcing-Dienstleiser erforderlich sind, könnte etwa Schadsoftware aus dem Anbietenden-Netz ungehindert in das Netz der Institution gelangen oder unbefugte Zugriffe könnten entstehen, wenn Authentifizierungsverfahren nicht abgestimmt sind. Umgekehrt kann eine klare Festlegung vorab bewirken, dass nur geprüfte, verschlüsselte und überwachte Schnittstellen genutzt werden, was eine vertrauenswürdige Zusammenarbeit ermöglicht. Da Outsourcing regelmäßig mit tiefen technischen Integrationen verbunden ist, unterscheidet es sich von herkömmlichen Lieferantenbeziehungen, bei denen keine direkte Netzwerkkopplung erfolgt. Eine Institution kann diese Anforderung praktisch umsetzen, indem sie vor der Anbindung (1) eine technische Schnittstellenbeschreibung einfordert, die Protokolle, Ports und Authentifizierungsmechanismen dokumentiert, (2) die Kommunikation auf gesicherte Kanäle wie VPN oder verschlüsselte Direktleitungen beschränkt, und (3) Verfahren zur Netzsegmentierung etabliert, sodass der Zugriff nur auf explizit freigegebene Systeme möglich ist. Ergänzend kann eine Checkliste für Dienstleisterprüfung genutzt werden, in der Sicherheitszertifikate, Protokolle zur Patch-Pflege oder geplante Monitoring-Mechanismen abgefragt werden. Ein prozessualer Tipp kann darin bestehen, die Netzfreigabe erst nach einem gemeinsamen Test der Sicherheitsmechanismen freizuschalten und dies in einem Freigabeprotokoll zu dokumentieren. So kann eine Institution sicherstellen, dass Outsourcing-Verbindungen kontrolliert, nachvollziehbar und mit einem definierten Sicherheitsniveau umgesetzt werden." + } + ] + }, + { + "id": "BES.7.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Anhörung Prozessbeteiligter", + "props": [ + { + "name": "alt-identifier", + "value": "805426be-1d47-46f0-88ab-0014e484fb9a" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "parts": [ + { + "id": "BES.7.3_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Outsourcing" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Abnahmeprotokoll" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "alle am ausgelagerten Prozess beteiligten Mitarbeiter oder Rollen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "anhören" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Beschaffungsmanagement für Outsourcing SOLLTE alle am ausgelagerten Prozess beteiligten Mitarbeiter oder Rollen anhören." + }, + { + "id": "BES.7.3_gdn", + "name": "guidance", + "prose": "Je nach Prozess können hierzu z.B. IT-Betriebspersonal oder Cybersicherheitsexperten der Institution oder von weiteren Dienstleistern, oder die Rechtsabteilung gehören." + } + ] + }, + { + "id": "BES.7.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Vollständigkeit der Unterlagen", + "props": [ + { + "name": "alt-identifier", + "value": "1e4fa113-4c3b-4853-9b12-86f02abd1706" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "parts": [ + { + "id": "BES.7.4_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Einkäufe" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Abnahmeprotokoll" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Informationen, die für eine bestimmungsgemäße Verwendung im Informationsverbund erforderlich sind," + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Beschaffungsmanagement für Einkäufe SOLLTE Informationen, die für eine bestimmungsgemäße Verwendung im Informationsverbund erforderlich sind, dokumentieren." + }, + { + "id": "BES.7.4_gdn", + "name": "guidance", + "prose": "Dient in erster Linie dazu, sicherheitsrelevante Eigenschaften, Abhängigkeiten und Einsatzbedingungen nachvollziehbar festzuhalten. Ohne diese Informationen könnte es zu Fehlkonfigurationen, unsachgemäßem Betrieb oder unentdeckten Schwachstellen kommen, etwa wenn sicherheitskritische Firmware-Updates, empfohlene Hardening-Anleitungen oder Hinweise zu bekannten Sicherheitslücken nicht beachtet werden. So könnte beispielsweise ein Netzwerkgerät ohne die dokumentierten Herstellerhinweise zu sicheren Standardpasswörtern betrieben werden, wodurch Angreifer einfachen Zugriff erlangen könnten. Für diesen Kontext bedeutet „Informationen, die für eine bestimmungsgemäße Verwendung der Beschaffung im Informationsverbund erforderlich sind“ sämtliche sicherheitsrelevanten Dokumente, Konfigurationshinweise, Updateanweisungen und Supportinformationen, die erforderlich sind, damit beschaffte Produkte und Dienste so verwendet werden können, wie in den Beschaffungskriterien vorgesehen. Am einfachsten kann diese Anforderung erfüllt werden, indem die erforderlichen Informationen vom Lieferanten oder Hersteller mitgeliefert werden. Alternativ ist es auch möglich, dass die Institution die Dokumentation selbst vornimmt, z.B. in Zusammenarbeit mit dem Lieferanten, durch Untersuchung der Lieferung oder durch Ablage von Informationen, welche der Hersteller auf seiner Webseite bereitgestellt hat. Eine praktische Umsetzung kann darin bestehen, dass die Institution im Rahmen des Beschaffungsprozesses gezielt nach sicherheitsrelevanten Unterlagen fragt und diese zentral ablegt, etwa in einem internen Dokumentationssystem, auf das die zuständigen Administratoren und IT-Sicherheitsverantwortlichen zugreifen können. Hierbei kann es hilfreich sein, Checklisten einzusetzen, die beim Wareneingang oder der Inbetriebnahme prüfen, ob etwa Handbücher mit sicherheitsrelevanten Konfigurationsempfehlungen, Updatepläne, Zertifikate oder Kompatibilitätslisten vorliegen. Auch kann die Institution eine eindeutige Referenzierung der Unterlagen vornehmen, damit später nachvollziehbar ist, welche Version der Herstellerinformationen bei Inbetriebnahme zugrunde lag. Um die Nutzbarkeit zu erhöhen, kann eine Kurzfassung der relevanten Sicherheitspunkte in die interne Betriebsdokumentation übernommen werden, während die Originalunterlagen für Detailfragen hinterlegt bleiben. Bei wiederkehrenden Beschaffungen ähnlicher Komponenten kann zudem eine Vorlagenstruktur helfen, in der die typischen Unterlagenarten und deren Ablageorte definiert sind. So wird sichergestellt, dass die sicherheitsrelevanten Informationen nicht nur vorhanden, sondern auch im Bedarfsfall schnell auffindbar und anwendbar sind." + } + ], + "controls": [ + { + "id": "BES.7.4.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Beschreibung der Sicherheitsarchitektur", + "props": [ + { + "name": "alt-identifier", + "value": "fca365f8-601e-4e9f-8b8a-1cc54c2936fb" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "parts": [ + { + "id": "BES.7.4.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Produkte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Betriebshandbuch" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine Beschreibung der Sicherheitsarchitektur" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Beschaffungsmanagement für IT-Produkte SOLLTE eine Beschreibung der Sicherheitsarchitektur dokumentieren." + }, + { + "id": "BES.7.4.1_gdn", + "name": "guidance", + "prose": "Die technische Sicherheitsarchitektur bezeichnet in diesem Kontext die strukturierte Darstellung der sicherheitsrelevanten Komponenten und Mechanismen eines IT-Produkts. Dazu gehören z. B. die eingesetzten kryptografischen Verfahren, die Segmentierung von Netzwerken, Schnittstellen zu anderen Systemen, Rollen- und Berechtigungskonzepte sowie Schutzmechanismen gegen Schadsoftware oder Manipulation. Sie bildet somit eine nachvollziehbare Übersicht, wie die Sicherheit im Produkt technisch verankert ist und wie diese in die bestehende IT-Landschaft integriert werden kann. Die Dokumentation kann verhindern, dass eine Institution Systeme übernimmt, deren Schutzmechanismen unklar oder unzureichend sind. Ohne eine solche Transparenz könnte es passieren, dass kritische Schwachstellen verborgen bleiben oder Sicherheitsmechanismen aufgrund mangelnden Verständnisses nicht korrekt konfiguriert werden. Eine sinnvolle Umsetzung kann beispielsweise so erfolgen: (1) Ein Anbieter kann verpflichtet werden, vor Abnahme ein Architekturdiagramm mit hervorgehobenen Sicherheitskomponenten bereitzustellen. (2) Die Institution kann bei Pilotinstallationen Checklisten verwenden, um die dokumentierten Sicherheitsmaßnahmen mit der realisierten Konfiguration abzugleichen. (3) Ergänzend kann ein standardisiertes Template genutzt werden, das Mindestangaben wie eingesetzte Protokolle, Verschlüsselungsmechanismen, Rollenmodelle und Logging-Kapazitäten abfragt, sodass einheitliche und vergleichbare Unterlagen entstehen. Auch ein Abgleich mit bewährten Referenzarchitekturen kann helfen, die Vollständigkeit und Plausibilität der Angaben zu prüfen." + } + ] + }, + { + "id": "BES.7.4.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Beschreibung von Sicherheitsmechanismen", + "props": [ + { + "name": "alt-identifier", + "value": "223cfe79-7b19-4c57-9535-b36c486f810f" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "parts": [ + { + "id": "BES.7.4.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Produkte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Betriebshandbuch" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine Beschreibung der gelieferten Sicherheitsmechanismen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Beschaffungsmanagement für IT-Produkte SOLLTE eine Beschreibung der gelieferten Sicherheitsmechanismen dokumentieren." + }, + { + "id": "BES.7.4.2_gdn", + "name": "guidance", + "prose": "Hierzu zählt z.B. eine Information des Herstellers, dass die Verschlüsselung nach BSI TR-02102 erfolgt." + } + ] + }, + { + "id": "BES.7.4.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Empfohlene Konfiguration", + "props": [ + { + "name": "alt-identifier", + "value": "17260753-9f50-4480-bfbc-226a362b0ab6" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "links": [ + { + "href": "#KONF.2.1", + "rel": "related" + }, + { + "href": "#KONF.10.1", + "rel": "related" + } + ], + "parts": [ + { + "id": "BES.7.4.3_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Produkte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Betriebshandbuch" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine vom Hersteller oder Lieferanten für den sicheren Betrieb empfohlene Konfiguration" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Beschaffungsmanagement für IT-Produkte SOLLTE eine vom Hersteller oder Lieferanten für den sicheren Betrieb empfohlene Konfiguration dokumentieren." + }, + { + "id": "BES.7.4.3_gdn", + "name": "guidance", + "prose": "Eine vom Hersteller oder Lieferanten empfohlene Konfiguration ist eine dokumentierte Vorgabe, welche Einstellungen, Dienste und Sicherheitsparameter für den sicheren Betrieb vorgesehen sind. Diese Empfehlung ist im Fachkontext oft als Secure Baseline Configuration bekannt und kann z. B. Angaben zu Benutzerrechten, Netzwerkschnittstellen oder Update-Mechanismen enthalten. Der Sinn und Zweck dieser Anforderung liegt darin, dass IT-Produkte nicht im unsicheren Auslieferungszustand betrieben werden, sondern in einer geprüften und abgestimmten Form. Ohne solche Empfehlungen könnte ein System mit unnötig offenen Ports betrieben werden oder ein Administratorkonto ohne Passwortschutz bestehen, was Angreifern leichtes Spiel böte. Eine dokumentierte und nachvollziehbar empfohlene Konfiguration kann hingegen dafür sorgen, dass Schwachstellen von Beginn an reduziert werden und ein sicherer Ausgangszustand für den weiteren Betrieb geschaffen wird. Konkret kann dies durch (1) die Ablage der Herstellerempfehlungen in einer zentralen Wissensdatenbank, (2) die Überführung dieser Vorgaben in technische Checklisten für Systemadministratoren oder (3) die Nutzung von Skripten oder Vorlagen zur automatischen Einrichtung von Betriebssystemen, Netzwerkgeräten oder Anwendungen erfolgen. Zusätzlich kann es hilfreich sein, Abweichungen zur Empfehlung zu dokumentieren, um spätere Prüfungen oder Audits nachvollziehbar zu gestalten." + } + ] + }, + { + "id": "BES.7.4.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Dokumentation der Komponenten", + "props": [ + { + "name": "alt-identifier", + "value": "06967239-6b5a-4329-bf28-e910cebefd45" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "parts": [ + { + "id": "BES.7.4.4_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Einkäufe" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Betriebshandbuch" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine Beschreibung der verwendeten Hardware- und Softwarekomponenten" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Beschaffungsmanagement für Einkäufe SOLLTE eine Beschreibung der verwendeten Hardware- und Softwarekomponenten dokumentieren." + }, + { + "id": "BES.7.4.4_gdn", + "name": "guidance", + "prose": "Hierzu zählen Angaben zum Hersteller und der Leistungsfähigkeit und Zusammensetzung der verbauten Hardware- und Softwarekomponenten. Für die Softwarekomponenten kann die Beschreibung standardisiert nach BSI TR-03183-2 erfolgen." + } + ], + "controls": [ + { + "id": "BES.7.4.4.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Software Bill of Materials (SBOM)", + "params": [ + { + "id": "bes.7.4.4.1-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "f89b0154-ccb8-401f-b352-9135e685a4e7" + } + ], + "label": "einem anerkannten Standard" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "f89b0154-ccb8-401f-b352-9135e685a4e7" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "links": [ + { + "href": "#DEV.4.3", + "rel": "related" + }, + { + "href": "#TEST.3.1.7", + "rel": "related" + } + ], + "parts": [ + { + "id": "BES.7.4.4.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Produkte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Betriebshandbuch" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "für jede gelieferte Software die entsprechende Software Bill of Materials (SBOM)" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "nach {{einem anerkannten Standard}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Beschaffungsmanagement für IT-Produkte KANN für jede gelieferte Software die entsprechende Software Bill of Materials (SBOM) nach {{ insert: param, bes.7.4.4.1-prm1 }} dokumentieren." + }, + { + "id": "BES.7.4.4.1_gdn", + "name": "guidance", + "prose": "Je nach Produkt können hierzu auch die Firmware, das Betriebssystem oder mehrere Softwarebestandteile einer Anwendung gehören. Ein anerkannter Standard für SBOM ist die BSI TR-03183-2." + } + ] + } + ] + }, + { + "id": "BES.7.4.5", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Netzverbindungen ab Werk", + "props": [ + { + "name": "alt-identifier", + "value": "f901b96c-6a92-46aa-834d-0b398d46482e" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "parts": [ + { + "id": "BES.7.4.5_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Produkte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Betriebshandbuch" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine Liste der Internetserver, mit denen das IT-Produkt von sich aus Verbindung aufnimmt," + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "mit Zweck der Verbindung, Zieladresse(n), Port-Nummern" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Beschaffungsmanagement für IT-Produkte SOLLTE eine Liste der Internetserver, mit denen das IT-Produkt von sich aus Verbindung aufnimmt, mit Zweck der Verbindung, Zieladresse(n), Port-Nummern dokumentieren." + }, + { + "id": "BES.7.4.5_gdn", + "name": "guidance", + "prose": "Geräte und Software verbinden sich oft schon im Auslieferungszustand oder bei der normalen Nutzung über das Internet mit Diensten, z.B. zur Übermittlung von Telemetrie- und Diagnosedaten oder zur Bereitstellung von Cloud-Funktionen. Eine Liste der Verbindungen hilft, die Übersicht zu behalten, welche Kommunikationsbeziehungen zu welchem Zweck das IT-Produkt aufnimmt. Die Liste kann vom Lieferanten gestellt werden oder durch Untersuchung des Produktes selbst ermittelt werden. Eine eigene Untersuchung ist jedoch deutlich aufwändiger, da sichergestellt werden muss, dass auch Verbindungen erfasst werden, die z.B. nur bei einem Absturz der Anwendung aufgebaut werden." + } + ] + }, + { + "id": "BES.7.4.6", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Shared Responsibility", + "props": [ + { + "name": "alt-identifier", + "value": "e7afc3eb-feac-4cad-8ad4-a46a867f45d8" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "parts": [ + { + "id": "BES.7.4.6_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Dienstleistungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Auslagerungsregister" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Verteilung der Zuständigkeiten und deren Abgrenzung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Beschaffungsmanagement für Dienstleistungen SOLLTE die Verteilung der Zuständigkeiten und deren Abgrenzung dokumentieren." + }, + { + "id": "BES.7.4.6_gdn", + "name": "guidance", + "prose": "Beim Outsourcing gibt es verteilte Zuständigkeiten zwischen Dienstleister und Institution (sog. Shared Responsibility). Hierbei ist z.B. relevant, welche Verarbeitungen in der Zuständigkeit des Dienstleisters liegen und welche weiterhin bei der Institution vorgenommen werden, z.B. Infrastructure-as-a-Service vs. Software-as-a-Service." + } + ] + }, + { + "id": "BES.7.4.7", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Organisatorische Schnittstellen", + "props": [ + { + "name": "alt-identifier", + "value": "c8752d5c-3fbf-4853-95f8-d5d87df73b7e" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "parts": [ + { + "id": "BES.7.4.7_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Dienstleistungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Auslagerungsregister" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die organisatorischen Schnittstellen des Dienstleisters" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Beschaffungsmanagement für Dienstleistungen SOLLTE die organisatorischen Schnittstellen des Dienstleisters dokumentieren." + }, + { + "id": "BES.7.4.7_gdn", + "name": "guidance", + "prose": "Beispielsweise Meldewege für Notfälle, Sicherheitsvorfälle, Eskalationsstufen." + } + ] + }, + { + "id": "BES.7.4.8", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Technische Schnittstellen", + "props": [ + { + "name": "alt-identifier", + "value": "e0b880c1-c7a8-491a-a8c4-df081ed9a8d4" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "parts": [ + { + "id": "BES.7.4.8_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Dienstleistungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Auslagerungsregister" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die vom Dienstleister bereitgestellten technischen Schnittstellen und deren Sicherheitsfunktionalität" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Beschaffungsmanagement für Dienstleistungen SOLLTE die vom Dienstleister bereitgestellten technischen Schnittstellen und deren Sicherheitsfunktionalität dokumentieren." + }, + { + "id": "BES.7.4.8_gdn", + "name": "guidance", + "prose": "Die Dokumentation der vom Dienstleister bereitgestellten technischen Schnittstellen und deren Sicherheitsfunktionalität dient in erster Linie dazu, Transparenz über potenzielle Angriffspunkte und Integrationsrisiken zu schaffen. Fehlende oder unzureichend beschriebene Schnittstellen können zu gravierenden Vorfällen führen: So könnte etwa eine unsauber dokumentierte API unbemerkt unverschlüsselte Daten übertragen oder unautorisierte Zugriffe ermöglichen." + } + ] + }, + { + "id": "BES.7.4.9", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Auslagerungsregister", + "props": [ + { + "name": "alt-identifier", + "value": "ca2e05d8-da09-45f2-b9e7-48e3ef4b032c" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "parts": [ + { + "id": "BES.7.4.9_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Outsourcing" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Auslagerungsregister" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Informationen über den Dienstleister, die Kritikalität des Prozesses, abgeschlossene Verträge und Vereinbarungen sowie Zeitpunkt und Inhalt von Änderungen an den Vereinbarungen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "nach Vertragsschluss" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Beschaffungsmanagement für Outsourcing SOLLTE Informationen über den Dienstleister, die Kritikalität des Prozesses, abgeschlossene Verträge und Vereinbarungen sowie Zeitpunkt und Inhalt von Änderungen an den Vereinbarungen nach Vertragsschluss dokumentieren." + }, + { + "id": "BES.7.4.9_gdn", + "name": "guidance", + "prose": "Hierzu genügt ein zentrales Auslagerungsregister, welches zu allen ausgelagerten Prozessen die geforderten Informationen enthält. Als Angaben zum Dienstleister gehören dessen Unternehmensbezeichnung und Erreichbarkeiten." + } + ] + }, + { + "id": "BES.7.4.10", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Serviceprofil", + "props": [ + { + "name": "alt-identifier", + "value": "406b5a6e-fb23-4a70-8d6d-2a5965513eb4" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "parts": [ + { + "id": "BES.7.4.10_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Cloud-Dienste" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Auslagerungsregister" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "für jeden geplanten oder genutzten Cloud-Dienst ein Serviceprofil" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "mit dem Namen des Services und des Anbieters" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Beschaffungsmanagement für Cloud-Dienste SOLLTE für jeden geplanten oder genutzten Cloud-Dienst ein Serviceprofil mit dem Namen des Services und des Anbieters dokumentieren." + }, + { + "id": "BES.7.4.10_gdn", + "name": "guidance", + "prose": "Mögliche Inhalte um zuvor identifizierte Anforderungen ergänzen : Bezeichnung, Kurzbeschreibung, Kategorie, Sub- bzw. Sekundärservices, Varianten, technische Parameter, Service-Parameter/SLA, SLA-Messung, Gültigkeit des Services (Zeitraum), Service-Übergabe, Methoden der Kostenermittlung, Preis/Verrechnung, Ansprechpartner für den Service, Berechtigte und Anforderer sowie Voraussetzungen und Abhängigkeiten zu anderen Diensten." + } + ] + }, + { + "id": "BES.7.4.11", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Dokumentierte Mandantentrennung", + "props": [ + { + "name": "alt-identifier", + "value": "d59ad53c-00d4-4bfd-8af9-bf09722731c5" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "links": [ + { + "href": "#BES.4.5.2", + "rel": "related" + } + ], + "parts": [ + { + "id": "BES.7.4.11_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Outsourcing" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Betriebshandbuch" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die beim Dienstleister implementierten Maßnahmen zur Mandantentrennung" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "nach Vertragsschluss" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Beschaffungsmanagement für Outsourcing KANN die beim Dienstleister implementierten Maßnahmen zur Mandantentrennung nach Vertragsschluss dokumentieren." + }, + { + "id": "BES.7.4.11_gdn", + "name": "guidance", + "prose": "Die Dokumentation der beim Dienstleister implementierten Maßnahmen zur Mandantentrennung trägt dazu bei, die Risiken unzureichender Abgrenzung zwischen verschiedenen Kundeninstanzen transparent zu bewerten und im Bedarfsfall nachzuweisen. Ohne eine solche Transparenz könnte es zu Datenabflüssen oder unbefugtem Zugriff durch andere Mandanten kommen, etwa wenn virtuelle Maschinen auf derselben Hardware betrieben werden und Schwachstellen in der Virtualisierung ausgenutzt werden könnten. Eine dokumentierte Trennungskontrolle kann nachweisen, dass Speicher, Rechenleistung oder Netzwerksegmente isoliert sind und dadurch die Vertraulichkeit und Integrität der eigenen Daten erhalten bleibt. Im Kontext bedeutet Mandantentrennung die technische und/oder organisatorische Gewährleistung, dass Daten, Prozesse und Ressourcen verschiedener Kunden innerhalb einer geteilten Infrastruktur so voneinander abgegrenzt sind, dass unbeabsichtigte oder absichtliche Zugriffe ausgeschlossen werden können. Damit ist nicht nur die physische, sondern auch die logische Separation gemeint. Die Umsetzung kann sinnvoll erfolgen, indem eine Institution nach Vertragsschluss gezielt vom Dienstleister beschriebene Schutzmechanismen abfragt und dokumentiert, beispielsweise Isolierungsverfahren auf Hypervisor-Ebene, Verschlüsselung pro Mandant oder die Vergabe getrennter Schlüsselmaterialien. Praktisch kann es hilfreich sein, in Service-Reports nachvollziehbare Testnachweise zu verlangen, etwa Ergebnisse von Penetrationstests, die speziell auf Mandantengrenzen zielen." + } + ] + }, + { + "id": "BES.7.4.12", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Software Bill of Materials (SBOM) - Cloud", + "params": [ + { + "id": "bes.7.4.12-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "7a3321a5-9f54-4ada-955d-647aeb0e51b5" + } + ], + "label": "einem anerkannten Standard" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "7a3321a5-9f54-4ada-955d-647aeb0e51b5" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "parts": [ + { + "id": "BES.7.4.12_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Cloud-Dienste" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Betriebshandbuch" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "für jede gelieferte Software-as-a-Service (SaaS) die entsprechende Software Bill of Materials (SBOM)" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "nach {{einem anerkannten Standard}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Beschaffungsmanagement für Cloud-Dienste KANN für jede gelieferte Software-as-a-Service (SaaS) die entsprechende Software Bill of Materials (SBOM) nach {{ insert: param, bes.7.4.12-prm1 }} dokumentieren." + }, + { + "id": "BES.7.4.12_gdn", + "name": "guidance", + "prose": "Ein anerkannter Standard für SBOM ist die BSI TR-03183-2." + } + ] + } + ] + } + ] + }, + { + "id": "BES.8", + "title": "Kompensierende Kontrollmechanismen", + "props": [ + { + "name": "label", + "value": "8" + }, + { + "name": "alt-identifier", + "value": "125a0b4e-e1a3-45af-82e1-aeea71d5000d" + } + ], + "controls": [ + { + "id": "BES.8.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Bereithaltung alternativer Lieferanten", + "props": [ + { + "name": "alt-identifier", + "value": "7a7af54d-83c0-4a32-900f-e4ff9ac02450" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten, Exit-Strategie" + } + ], + "parts": [ + { + "id": "BES.8.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Einkäufe" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Prozess Beschaffung" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Bereithaltung alternativer Lieferanten" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Beschaffungsmanagement für Einkäufe KANN die Bereithaltung alternativer Lieferanten verankern." + }, + { + "id": "BES.8.1_gdn", + "name": "guidance", + "prose": "Das Bereithalten alternativer Lieferanten kann dazu beitragen, Abhängigkeiten zu reduzieren und die Resilienz der Liefer- und Beschaffungskette zu erhöhen. Das ist insbesondere dann von großer Bedeutung, wenn ein einzelner, wichtiger Lieferant kurzfristig ausfällt – etwa durch Produktionsstörungen, Insolvenzen, Lieferengpässe, politische Sanktionen oder Cyberangriffe auf dessen Systeme. In solchen Fällen könnte die institutionseigene Versorgung mit kritischen Gütern oder Dienstleistungen gefährdet sein, was wiederum Ausfälle, Qualitätsmängel oder Vertragsstrafen nach sich ziehen könnte. Gerade bei sicherheitskritischen Komponenten, Spezialsoftware oder Ersatzteilen mit langen Vorlaufzeiten könnte das Fehlen einer zweiten Bezugsquelle zu erheblichen Betriebsunterbrechungen führen. Der Begriff „alternative Lieferanten“ meint in diesem Kontext qualifizierte Drittanbieter, die vergleichbare Produkte oder Leistungen in einer wirtschaftlich und technisch angemessenen Qualität und Menge wirksam bereitstellen können. „Angemessenheit“ bezieht sich hier auf den Grad, in dem ein alternativer Lieferant die Mindestanforderungen der Institution hinsichtlich Qualität, Sicherheit, Verfügbarkeit und Kompatibilität erfüllt, während „Wirksamkeit“ bedeutet, dass dieser im Bedarfsfall tatsächlich kurzfristig und ohne erhebliche Zusatzrisiken einspringen kann. Zur praktischen Umsetzung kann eine Institution zunächst identifizieren, für welche Materialien, Systeme oder Services ein Ausfall besonders kritisch wäre, und für diese gezielt alternative Bezugsquellen evaluieren. Dazu kann gehören, eine Lieferantenliste mit geprüften Zweitanbietern zu pflegen, Rahmenverträge vorzubereiten oder vereinbarte Notfallmengen zu definieren, die im Bedarfsfall abgerufen werden können. Eine Möglichkeit ist es, Testbestellungen bei alternativen Anbietern durchzuführen, um Qualität, Liefergeschwindigkeit und Kommunikationswege zu erproben. Ebenso kann es hilfreich sein, technische Spezifikationen so zu gestalten, dass mehrere Anbieter kompatible Produkte liefern können, um Lock-in-Effekte zu vermeiden." + } + ] + }, + { + "id": "BES.8.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Verfahren zur Übertragung von Geschäftsprozessen", + "props": [ + { + "name": "alt-identifier", + "value": "e69b2846-6b36-4b3e-8fbc-e1ccd17f4f48" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten, Exit-Strategie" + } + ], + "parts": [ + { + "id": "BES.8.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Outsourcing" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Geschäftsprozesse" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Verfahren zur Übertragung von Geschäftsprozessen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "für den Fall einer geplanten oder ungeplanten Beendigung des Vertrages" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Beschaffungsmanagement für Outsourcing KANN Verfahren zur Übertragung von Geschäftsprozessen für den Fall einer geplanten oder ungeplanten Beendigung des Vertrages verankern." + }, + { + "id": "BES.8.2_gdn", + "name": "guidance", + "prose": "Es empfiehlt sich diese Alternativen in einem Maßnahmenkatalog zu dokumentieren. Darin können z.B. alternative Dienstleister festgehalten werden, welche über das notwendige Niveau an Informationssicherheit verfügen, um den Prozess, welcher an den bisherigen Dienstleister ausgelagert wird, in gleichem Maße umzusetzen." + } + ] + }, + { + "id": "BES.8.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Ressourcensouveränität", + "props": [ + { + "name": "alt-identifier", + "value": "c928db22-3ace-445e-b501-7ebb8fbd9c2d" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten, Exit-Strategie" + } + ], + "parts": [ + { + "id": "BES.8.3_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Outsourcing" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Geschäftsprozesse" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "ausreichende interne Ressourcen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "für den Fall einer geplanten oder ungeplanten Beendigung des Vertrages" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "zuweisen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Beschaffungsmanagement für Outsourcing KANN ausreichende interne Ressourcen für den Fall einer geplanten oder ungeplanten Beendigung des Vertrages zuweisen." + }, + { + "id": "BES.8.3_gdn", + "name": "guidance", + "prose": "Die Bereithaltung ausreichender interner Ressourcen zielt hier darauf ab, für den Fall einer plötzlichen Einstellung der beschafften Dienste ausreichend ausgestattet zu sein, um einer übermäßigen Abhängigkeit gegenüber den Anbietenden von Outsourcing vorzubeugen. Zu den notwendigen Ressourcen gehört sowohl Personal, welches für die bei einem Ausfall des Dienstleisters erforderlichen Aufgaben qualifiziert ist, als auch die für diese Aufgaben erforderliche Infrastruktur (z.B. IT-Systeme, Anwendungslizenzen, Zugänge und Berechtigungen)." + } + ] + }, + { + "id": "BES.8.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Individuelle Implementierung kritischer Komponenten", + "props": [ + { + "name": "alt-identifier", + "value": "c3ef1d10-5c10-4411-9a02-bb352211bc88" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "parts": [ + { + "id": "BES.8.4_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Produkte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Beschaffungskriterien" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine eigens für die Institution entwickelte Implementierung kritischer Komponenten" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "vereinbaren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Beschaffungsmanagement für IT-Produkte KANN eine eigens für die Institution entwickelte Implementierung kritischer Komponenten vereinbaren." + }, + { + "id": "BES.8.4_gdn", + "name": "guidance", + "prose": "Dient dazu das Risiko zu mindern, dass sicherheitsrelevante Funktionen oder Integrationspunkte ungeeignet, unvollständig oder von Drittanbietern unzureichend abgesichert bereitgestellt werden. Kritische Komponenten sind dabei jene Hardware- oder Software-Bestandteile, deren Ausfall, Kompromittierung oder Fehlfunktion wesentliche Geschäftsprozesse beeinträchtigen oder sensible Daten gefährden könnte – etwa Kryptomodule, Authentifizierungsmechanismen, Schnittstellen zur Anbindung an interne Systeme oder sicherheitsrelevante Konfigurationsbausteine. Ohne gezielte Einflussnahme bei der Beschaffung könnte es beispielsweise vorkommen, dass ein Standardprodukt mit unsicheren Voreinstellungen geliefert wird, ein Modul nicht die für den Einsatzzweck erforderliche Verschlüsselung unterstützt oder herstellerseitige Updates nicht zeitnah bereitgestellt werden. Andererseits bergen selbst entwickelte Komponenten gegenüber Standardbeschaffungen das Risiko, dass die Eigenentwicklungen unzureichend getestet oder im Einsatz erprobt wurden. Daher ist vor einer Eigenentwicklung eine Risikoabschätzung sinnvoll. Typischerweise lohnt eine Eigenentwicklung sich nur wenn erhebliche Ressourcen für deren Absicherung vorhanden sind und der Vertraulichkeit oder Integrität eine stark erhöhte Bedeutung im Vergleich zu Standardprodukten zukommt. Eine Institution kann bei der Umsetzung dieser Anforderung gezielt in den Beschaffungsvertrag aufnehmen, dass bestimmte Komponenten nach definierten Vorgaben angepasst, gehärtet oder erweitert werden – beispielsweise eine erweiterte Protokollierungsfunktion in einer Verwaltungssoftware, eine abgesicherte Firmware-Konfiguration bei Netzwerkgeräten oder die Integration zusätzlicher Prüfmechanismen in eine Schnittstellen-API." + } + ] + }, + { + "id": "BES.8.5", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Treuhand", + "props": [ + { + "name": "alt-identifier", + "value": "a5f72086-9f22-4376-9b24-25ca429542d6" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Exit-Strategie" + } + ], + "parts": [ + { + "id": "BES.8.5_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Dienstleistungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Beschaffungskriterien" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "ESCROW- bzw. Treuhandverträge" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "vereinbaren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Beschaffungsmanagement für Dienstleistungen KANN ESCROW- bzw. Treuhandverträge vereinbaren." + }, + { + "id": "BES.8.5_gdn", + "name": "guidance", + "prose": "ESCROW- bzw. Treuhandverträge regeln die Verwertungs- und Bearbeitungsrechte (z.B. für eine Software sowie Herausgabefälle des Quellcodes) für den Fall, dass es zu Streitigkeiten oder Ausfällen der Dienstleister kommt. Hierzu gehören auch ggf. zur Nutzung erforderliche Begleitunterlagen oder Zugangsmittel wie Schlüssel oder Passwörter. Außerdem ist es zweckmäßig, vertraglich festzulegen, wie häufig Daten (z.B. Quellcode) hinterlegt und dokumentiert werden. Auch eine Regelung bzgl. der Geheimhaltungspflichten im Vertrag ist zu empfehlen." + } + ] + } + ] + } + ] + }, + { + "id": "DLS", + "title": "Dienstleistersteuerung", + "props": [ + { + "name": "label", + "value": "DLS", + "remarks": "Die Praktik Dienstleistersteuerung regelt die kontinuierliche Überwachung und Steuerung externer Dienstleister, wie etwa Outsourcing-Partner oder Cloud-Anbieter. Sie stellt sicher, dass die erbrachten Leistungen den vereinbarten Sicherheitsanforderungen entsprechen und die Dienstleister ihre vertraglichen Verpflichtungen in Bezug auf die Informationssicherheit erfüllen. Im Gegensatz dazu befasst sich die Praktik Beschaffungsmanagement mit der Auswahl von Dienstleistern sowie der vertraglichen Absicherung, wobei die Integration von Informationssicherheitsanforderungen in den Beschaffungsprozess im Vordergrund steht. Während das Beschaffungsmanagement also die Grundlage für die Zusammenarbeit mit externen Dienstleistern schafft, übernimmt die Dienstleistersteuerung die fortlaufende Kontrolle und das Management dieser Beziehungen, um sicherzustellen, dass die vereinbarten Sicherheitsstandards auch langfristig eingehalten werden." + }, + { + "name": "alt-identifier", + "value": "1291637b-aa0e-4b80-a309-5aca40e1c01b" + } + ], + "groups": [ + { + "id": "DLS.1", + "title": "Grundlagen", + "props": [ + { + "name": "label", + "value": "1" + }, + { + "name": "alt-identifier", + "value": "94bfadab-43f6-48d7-ac5e-49b8fbcf2794" + } + ], + "controls": [ + { + "id": "DLS.1.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Verfahren und Regelungen", + "props": [ + { + "name": "alt-identifier", + "value": "41ed06ba-0c2f-4c7e-abef-96b13e838061" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Exit-Strategie" + } + ], + "parts": [ + { + "id": "DLS.1.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Prozess Beschaffung" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "ein Verfahren zur Steuerung und geordneten Beendigung von Dienstleistungsverträgen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Dienstleistersteuerung MUSS ein Verfahren zur Steuerung und geordneten Beendigung von Dienstleistungsverträgen verankern." + }, + { + "id": "DLS.1.1_gdn", + "name": "guidance", + "prose": "Hierzu gehört die Kontrolle der Einhaltung von Vereinbarungen zur Sicherheit mit Dienstleistern und (falls erforderlich) einen geeigneten Weg für die Beendigung von Verträgen vorzubereiten. Die bei der Festlegung des Verfahrens im Einzelnen zu berücksichtigenden Inhalte ergeben sich aus den Anforderungen dieser Praktik." + } + ], + "controls": [ + { + "id": "DLS.1.1.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Dokumentation", + "props": [ + { + "name": "alt-identifier", + "value": "83e77b46-999a-4ba3-b525-4deba0625aec" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "DLS.1.1.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Verfahren und Regelungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Dienstleistersteuerung MUSS die Verfahren und Regelungen dokumentieren." + }, + { + "id": "DLS.1.1.1_gdn", + "name": "guidance", + "prose": "Ohne eine Dokumentation könnte die Einhaltung der Verfahren und Regelungen von der Tagesform oder dem individuellen Wissen einzelner Mitarbeiter abhängen, was zu inkonsistenten Entscheidungen und Fehlern führen könnte; insbesondere beim Ausscheiden eines langjährigen Administrators könnte wertvolles prozessuales Wissen verloren gehen. Eine klare Dokumentation sichert die Verbindlichkeit und Wiederholbarkeit und dient als unverzichtbare Grundlage für die Einarbeitung neuer Kollegen, für die Durchführung von Audits und zur einheitlichen Anwendung der Regeln in der gesamten Institution. Die Dokumentation kann in einem eigenständigen Dokument als Richtlinie erfolgen, aber auch als Abschnitt in einem bereits bestehenden Dokument oder über die digital strukturiere Erfassung von Maßnahmen zur Umsetzung der Anforderungen, etwa über eine Software zum Management der Informationssicherheit. Sinnvoll ist es Ort und Struktur der Dokumentation an der jeweiligen Zielgruppe, d.h. den für das Management und die Umsetzung verantwortlichen Personen oder Rollen, auszurichten." + } + ] + }, + { + "id": "DLS.1.1.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Zuweisung der Aufgaben", + "params": [ + { + "id": "dls.1.1.2-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "d630bd91-1daa-4467-865c-e3ce5b437fdb" + } + ], + "label": "zuständigen Personen oder Rollen" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "d630bd91-1daa-4467-865c-e3ce5b437fdb" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "DLS.1.1.2_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Geschäftsverteilungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die mit den Verfahren und Regelungen verbundenen Aufgaben" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{zuständigen Personen oder Rollen}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "zuweisen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Dienstleistersteuerung MUSS die mit den Verfahren und Regelungen verbundenen Aufgaben {{ insert: param, dls.1.1.2-prm1 }} zuweisen." + }, + { + "id": "DLS.1.1.2_gdn", + "name": "guidance", + "prose": "Die Zuweisung von Aufgaben bezeichnet die eindeutige und verbindliche Übertragung von konkreten Tätigkeiten und Verantwortlichkeiten des Änderungsprozesses, wie etwa die Risikobewertung, die technische Umsetzung oder die finale Freigabe, an definierte Stellen in der Institution. Der Sinn dieser Vorschrift ist es, die Verantwortlichkeit (\"Accountability\") für jeden einzelnen Schritt im Prozess klarzustellen. Ohne eine solche Zuweisung könnten kritische Prüfungen unterbleiben, weil sich niemand explizit zuständig fühlt, was wiederum die Wahrscheinlichkeit fehlgeschlagener Änderungen erhöht. Eine klare Regelung kann sicherstellen, dass keine Aufgaben übersehen werden und jede Tätigkeit von einer dafür qualifizierten und befugten Stelle ausgeführt wird, was die Prozesssicherheit signifikant erhöht. Eine bewährte Methode zur Umsetzung ist die Erstellung einer RACI-Matrix (Responsible, Accountable, Consulted, Informed), die tabellarisch für jeden Prozessschritt darstellt, wer für die Durchführung verantwortlich ist, wer die Gesamtverantwortung trägt, wer zu konsultieren und wer zu informieren ist. Diese Zuständigkeiten können auch direkt in einem Workflow- oder Ticketsystem abgebildet werden, sodass Aufgaben, wie beispielsweise Genehmigungsschritte, automatisch an die richtige Gruppe oder Person weitergeleitet werden. Sinnvoll ist es die Zuweisung anhand von Rollen (z.B. \"Anwendungsverantwortlicher\", \"Netzwerkadministrator\", \"Change Manager\") vorzunehmen, statt an konkrete Personen. Dieser Ansatz stellt sicher, dass die Prozesse auch bei Personalwechseln stabil weiterlaufen, da die Zuständigkeit an die Funktion und nicht an das Individuum gebunden ist." + } + ] + }, + { + "id": "DLS.1.1.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Bekanntgabe", + "props": [ + { + "name": "alt-identifier", + "value": "d16beace-2e32-4d1c-8af1-f7dc721e251f" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "DLS.1.1.3_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die zuständigen Personen oder Rollen über die Verfahren und Regelungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "informieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Dienstleistersteuerung MUSS die zuständigen Personen oder Rollen über die Verfahren und Regelungen informieren." + }, + { + "id": "DLS.1.1.3_gdn", + "name": "guidance", + "prose": "Wenn die Zuständigen die etablierten Verfahren nicht kennen, besteht die Gefahr, dass diese – sei es aus Unwissenheit oder Bequemlichkeit – umgangen werden, was die Schutzwirkung des gesamten Managementsystems untergräbt. So könnte ein neuer Systemadministrator eine weitreichende Konfigurationsänderung vornehmen, ohne den vorgeschriebenen Genehmigungsprozess zu durchlaufen, was zu einem unbemerkten Sicherheitsrisiko führen könnte. Eine gezielte Information kann hingegen die Akzeptanz der Regelungen fördern und sicherstellen, dass alle Beteiligten ihre Rolle im Prozess verstehen und die Abläufe korrekt anwenden. Zur Umsetzung ist es sinnvoll die Dokumentation im Rahmen eines Onboarding-Prozesses bekanntzugeben und bei allen Änderungen eine automtatische Benachrichtigung aller zuständigen Personen oder Rollen anzustoßen." + } + ] + } + ] + }, + { + "id": "DLS.1.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Regelmäßige Überprüfung", + "params": [ + { + "id": "dls.1.2-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "79e6ddcd-767f-4cf3-85a7-4928198c0318" + } + ], + "label": "regelmäßig" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "79e6ddcd-767f-4cf3-85a7-4928198c0318" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "DLS.1.2_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Übungs- und Prüfplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Verfahren und Regelungen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{regelmäßig}} und anlassbezogen auf Aktualität" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überprüfen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Dienstleistersteuerung MUSS die Verfahren und Regelungen {{ insert: param, dls.1.2-prm1 }} und anlassbezogen auf Aktualität überprüfen." + }, + { + "id": "DLS.1.2_gdn", + "name": "guidance", + "prose": "Eine geplante Überprüfung der etablierten Verfahren und Regelungen dient dazu festzustellen, ob diese noch wirksam, effizient und an die aktuellen Gegebenheiten angepasst sind. Eine anlassbezogene Überprüfung wird durch spezifische Ereignisse ausgelöst, wie etwa einen schwerwiegenden Sicherheitsvorfall, eine strategische Neuausrichtung der IT oder neue gesetzliche Anforderungen. Der Zweck dieser Anforderung ist es, die kontinuierliche Verbesserung und Anpassungsfähigkeit des Prozesses sicherzustellen, da veraltete Regelungen neuen technologischen Entwicklungen oder Bedrohungen nicht mehr gerecht werden könnten; ein vor Jahren für monolithische Anwendungen konzipierter Prozess ist beispielsweise für agile Entwicklungsmethoden oder Microservice-Architekturen ungeeignet. Die regelmäßige Überprüfung kann die Effektivität des Sicherheitsmanagements langfristig aufrechterhalten und die Resilienz der Institution stärken." + } + ] + } + ] + }, + { + "id": "DLS.2", + "title": "Nutzung von digitalen Dienstleistungen", + "props": [ + { + "name": "label", + "value": "2" + }, + { + "name": "alt-identifier", + "value": "2d92d691-07fe-4bc6-8c39-5bdaabb3e027" + } + ], + "controls": [ + { + "id": "DLS.2.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Mehr-Faktor-Authentifizierung", + "props": [ + { + "name": "alt-identifier", + "value": "8bbca369-db4c-421d-b930-f4257acc1b83" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Advanced Persistent Threats (APT)" + } + ], + "parts": [ + { + "id": "DLS.2.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Dienstleistungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Mehr-Faktor-Authentifizierung" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "bei Login in Online-Dienste" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Dienstleistersteuerung für Dienstleistungen SOLLTE Mehr-Faktor-Authentifizierung bei Login in Online-Dienste aktivieren." + }, + { + "id": "DLS.2.1_gdn", + "name": "guidance", + "prose": "Online-Dienste wie die Verwaltung von TK-Rufnummern oder Cloud-Office-Anwendungen sind ein beliebtes Ziel für Angriffe durch Phishing oder Datenleaks. Sichern Sie diese Zugänge mit Mehr-Faktor-Authentifizierung (z.B. OTP) ab." + } + ] + }, + { + "id": "DLS.2.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Transportverschlüsselung", + "params": [ + { + "id": "dls.2.2-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "c9cd4b7e-8f76-4884-afb7-dcfd3d228624" + } + ], + "label": "einem anerkannten Standard" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "c9cd4b7e-8f76-4884-afb7-dcfd3d228624" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "links": [ + { + "href": "#BES.4.6.2", + "rel": "related" + } + ], + "parts": [ + { + "id": "DLS.2.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Daten" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "den Transport" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "bei der Übertragung zum Anbieter nach {{einem anerkannten Standard}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verschlüsseln" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Dienstleistersteuerung für Daten SOLLTE den Transport bei der Übertragung zum Anbieter nach {{ insert: param, dls.2.2-prm1 }} verschlüsseln." + }, + { + "id": "DLS.2.2_gdn", + "name": "guidance", + "prose": "„Transport“ bedeutet hier der technische Vorgang der Datenübertragung zwischen der Institution und dem Dienstleister, also etwa über das Internet oder dedizierte Leitungen. Der Sinn dieser Vorschrift liegt darin, die Vertraulichkeit und Integrität von Informationen zu schützen, wenn sie in fremde Infrastrukturen überführt werden. Ohne eine solche Maßnahme könnte ein Angreifer Daten während der Übertragung abfangen oder manipulieren, beispielsweise über „Man-in-the-Middle“-Angriffe oder durch Abhören unsicherer Netze. Da beschaffte Dienstleistungen typischerweise außerhalb der direkten Kontrolle der Institution liegen, gibt es hier eine eigene Vorgabe, um die besondere Risikosituation beim Übergang von interner zu externer Infrastruktur gezielt abzusichern. Eine Institution kann die Anforderung praktisch umsetzen, indem sie (1) den Einsatz von Protokollen wie TLS in allen Web- und API-basierten Schnittstellen zum Anbieter sicherstellt, (2) für administrative Zugänge oder besonders sensible Datenübertragungen zusätzlich VPN-Verbindungen nutzen kann, und (3) Zertifikatsprüfungen so konfiguriert, dass unsichere oder abgelaufene Zertifikate nicht akzeptiert werden." + } + ] + }, + { + "id": "DLS.2.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Vollverschlüsselung", + "props": [ + { + "name": "alt-identifier", + "value": "30a1e505-c2a4-44d9-8c8e-6584142d5d64" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "parts": [ + { + "id": "DLS.2.3_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Daten" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "diese, wenn der Anbieter deren Inhalt zur Vertragserbringung nicht kennen muss, für diesen nicht entschlüsselbar" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "vor der Übertragung zum Dienstleister" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verschlüsseln" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Dienstleistersteuerung für Daten KANN diese, wenn der Anbieter deren Inhalt zur Vertragserbringung nicht kennen muss, für diesen nicht entschlüsselbar vor der Übertragung zum Dienstleister verschlüsseln." + }, + { + "id": "DLS.2.3_gdn", + "name": "guidance", + "prose": "Hierbei handelt es sich um eine Verschlüsselung at-rest, bei welcher der Dienstleister keinen Zugang zum Schlüssel erhält. Die Umsetzung kann z.B. auf Dateiebene oder durch Container erfolgen." + } + ] + } + ] + }, + { + "id": "DLS.3", + "title": "Kontrolle von Dienstleistern", + "props": [ + { + "name": "label", + "value": "3" + }, + { + "name": "alt-identifier", + "value": "a804efd3-0198-445a-b065-005a59096b67" + } + ], + "controls": [ + { + "id": "DLS.3.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Einhaltung der Sicherheitsvorgaben", + "params": [ + { + "id": "dls.3.1-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "5b17bd9b-ff38-46eb-a1ef-7b38429f128b" + } + ], + "label": "regelmäßig" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "5b17bd9b-ff38-46eb-a1ef-7b38429f128b" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "parts": [ + { + "id": "DLS.3.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Dienstleistungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Liste der Hersteller und Dienstleister" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Einhaltung der Sicherheitsvorgaben durch den Dienstleister" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{regelmäßig}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überprüfen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Dienstleistersteuerung für Dienstleistungen SOLLTE die Einhaltung der Sicherheitsvorgaben durch den Dienstleister {{ insert: param, dls.3.1-prm1 }} überprüfen." + }, + { + "id": "DLS.3.1_gdn", + "name": "guidance", + "prose": "Hierzu ist zu prüfen, ob Anzeichen vorliegen, dass der Dienstleister die im Vertrag geforderten Vorgaben nicht einhält und falls erforderlich Gegenmaßnahmen einzuleiten. Die Prüfung kann z.B. Zertifikate, regelmäßige Stichproben oder das Monitoring von Datenleaks vorsehen." + } + ], + "controls": [ + { + "id": "DLS.3.1.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Audit oder Zertifikat", + "params": [ + { + "id": "dls.3.1.1-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "12c2c250-86b8-46a0-bccd-d0b2f59b6bae" + } + ], + "label": "Audits, Zertifikates oder vergleichbaren Sicherheitsnachweises" + }, + { + "id": "dls.3.1.1-prm2", + "props": [ + { + "name": "alt-identifier", + "value": "12c2c250-86b8-46a0-bccd-d0b2f59b6bae" + } + ], + "label": "regelmäßig" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "12c2c250-86b8-46a0-bccd-d0b2f59b6bae" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "parts": [ + { + "id": "DLS.3.1.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Outsourcing" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Auslagerungsregister" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Einhaltung der Sicherheitsvorgaben anhand eines {{Audits, Zertifikates oder vergleichbaren Sicherheitsnachweises}}" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{regelmäßig}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überprüfen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Dienstleistersteuerung für Outsourcing SOLLTE die Einhaltung der Sicherheitsvorgaben anhand eines {{ insert: param, dls.3.1.1-prm1 }} {{ insert: param, dls.3.1.1-prm2 }} überprüfen." + }, + { + "id": "DLS.3.1.1_gdn", + "name": "guidance", + "prose": "„Audit“ bezeichnet in diesem Zusammenhang eine systematische, unabhängige Überprüfung der vereinbarten Sicherheitsmaßnahmen durch fachkundige Dritte, beispielsweise in Form interner oder externer Prüfungen mit dokumentierten Ergebnissen. Ein „Zertifikat“ ist ein formaler Nachweis einer akkreditierten Prüfstelle, dass ein Dienstleister ein anerkanntes Sicherheitsframework eingehalten hat, wie etwa IT-Grundschutz oder ISO/IEC 27001. Ein „vergleichbarer Sicherheitsnachweis“ kann auch ein Prüfbericht, ein BSI C5-Testat oder eine Bestätigung unabhängiger Gutachter sein, sofern er inhaltlich nachvollziehbar darlegt, dass definierte Sicherheitsanforderungen wirksam umgesetzt wurden. Ohne Nachweise könnte ein Dienstleister vereinbarte Sicherheitsmaßnahmen vernachlässigen, was zu unbemerkten Datenabflüssen, unzureichendem Patch-Management oder Ausfällen durch mangelhafte Notfallvorsorge führen könnte. Durch nachvollziehbare Prüfungen kann dagegen erreicht werden, dass Sicherheitsstandards eingehalten werden, Schwachstellen frühzeitig sichtbar werden und ein belastbares Vertrauen in die Dienstleisterbeziehung entsteht." + } + ] + } + ] + }, + { + "id": "DLS.3.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Checkup", + "params": [ + { + "id": "dls.3.2-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "ca07f3db-7a2f-4156-b1de-4fa648393557" + } + ], + "label": "regelmäßig" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "ca07f3db-7a2f-4156-b1de-4fa648393557" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "parts": [ + { + "id": "DLS.3.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Outsourcing" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Übungs- und Prüfplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die risikoorientierte Entscheidung über Outsourcing auf Grundlage der Geschäftsprozessprofile" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "auf Änderungen der Gefährdungslage oder Prozessinhalte {{regelmäßig}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überprüfen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Dienstleistersteuerung für Outsourcing KANN die risikoorientierte Entscheidung über Outsourcing auf Grundlage der Geschäftsprozessprofile auf Änderungen der Gefährdungslage oder Prozessinhalte {{ insert: param, dls.3.2-prm1 }} überprüfen." + }, + { + "id": "DLS.3.2_gdn", + "name": "guidance", + "prose": "Die risikoorientierte Entscheidung über Outsourcing kann in diesem Kontext als wiederkehrende Bewertung der Abhängigkeiten und Gefahren verstanden werden, die durch externe Dienstleister in den Geschäftsprozessen einer Institution entstehen. Der Parameter regelmäßig kann je nach Kritikalität der ausgelagerten Prozesse sinnvoll mit Werten wie halbjährlich, jährlich oder nach definierten Ereignissen (z. B. Einführung neuer regulatorischer Vorgaben oder Sicherheitsvorfälle) ausgefüllt werden. Änderungen der Gefährdungslage beziehen sich auf die dynamische Entwicklung von Bedrohungen wie Cyberangriffe, Lieferkettenstörungen oder neue regulatorische Anforderungen, während Änderungen der Prozessinhalte vor allem die Anpassung oder Erweiterung der durch Dienstleister erbrachten Leistungen umfassen. Der Zweck dieser Vorschrift liegt darin, frühzeitig sicherzustellen, dass die bisherigen Risikoeinschätzungen und Dienstleistervereinbarungen weiterhin tragfähig sind und nicht durch externe Veränderungen entwertet werden. Ohne eine solche Überprüfung könnte beispielsweise ein Dienstleister aufgrund verschärfter Bedrohungen unzureichenden Schutz bieten oder durch eine stillschweigende Ausweitung von Leistungen in Bereiche gelangen, die ursprünglich nicht risikobewertet wurden. Eine regelmäßige Kontrolle kann dagegen dafür sorgen, dass Risiken durch Outsourcing transparent bleiben und rechtzeitig nachjustiert werden. Zur praktischen Umsetzung kann eine Institution beispielsweise (1) eine Checkliste führen, die bei jeder Neubewertung konkrete Aspekte wie Datenlokation, technische Sicherheitsmaßnahmen oder Zertifikatsgültigkeiten abfragt und (2) ein automatisiertes Monitoring nutzen, das öffentliche Sicherheitsnachweise wie Testate nach BSI C5 oder SOC-Reports erfasst und in die Bewertung einbindet. Auch die Nutzung von Incident-Datenbanken oder branchenspezifischen Threat-Feeds kann helfen, Gefährdungslagen aktuell einzuschätzen. Ein bewährter Tipp ist es, nicht nur formale Unterlagen zu prüfen, sondern auch technische Stichproben durchzuführen, etwa in Form von Konfigurationsprüfungen oder Penetrationstests, sofern dies durch den Dienstleister gestattet wird. Damit kann die Institution sicherstellen, dass die theoretische Risikoabwägung durch reale Prüfungen gestützt wird und sich an tatsächlichen Veränderungen orientiert." + } + ] + }, + { + "id": "DLS.3.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Strategie-Check", + "props": [ + { + "name": "alt-identifier", + "value": "cc89b4a1-02a9-48b6-aac9-2b6c2e0d7062" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "links": [ + { + "href": "#BES.1.4", + "rel": "required" + } + ], + "parts": [ + { + "id": "DLS.3.3_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Outsourcing" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Übungs- und Prüfplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Strategie auf Vollständigkeit und Korrektheit in Bezug auf die betrachteten Geschäftsprozesse" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "bei Änderungen der Geschäftsprozessprofile" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überprüfen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Dienstleistersteuerung für Outsourcing KANN die Strategie auf Vollständigkeit und Korrektheit in Bezug auf die betrachteten Geschäftsprozesse bei Änderungen der Geschäftsprozessprofile überprüfen." + }, + { + "id": "DLS.3.3_gdn", + "name": "guidance", + "prose": "Vollständigkeit bedeutet hier, dass die Gesamtheit der ausgelagerten Prozesse erfasst, beschrieben und in ihrer Abhängigkeit zu internen Prozessen berücksichtigt ist. Korrektheit meint, dass die Beschreibungen, Schnittstellen und Verantwortlichkeiten zwischen Institution und Dienstleister sachlich richtig, aktuell und belastbar dokumentiert sind. Zur Umsetzung kann eine Institution strukturierte Verfahren einführen, die bei Änderungen in den Prozessprofilen automatisch eine Prüfung des Outsourcing-Setups auslösen. Dies kann z. B. durch Abgleich der aktuellen Servicebeschreibungen mit Prozesslandkarten erfolgen, sodass fehlende oder doppelt definierte Zuständigkeiten sichtbar werden." + } + ] + }, + { + "id": "DLS.3.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Anhörung", + "props": [ + { + "name": "alt-identifier", + "value": "a36c3091-9132-49dc-9186-d335cb153360" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten" + } + ], + "parts": [ + { + "id": "DLS.3.4_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Outsourcing" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Betriebshandbuch" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "den Dienstleister zu Sicherheitsmaßnahmen für betroffene Zielobjekte" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "anhören" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Dienstleistersteuerung für Outsourcing SOLLTE den Dienstleister zu Sicherheitsmaßnahmen für betroffene Zielobjekte anhören." + }, + { + "id": "DLS.3.4_gdn", + "name": "guidance", + "prose": "Betroffen sind alle Zielobjekte, zu denen vom Dienstleister (Teil-)Leistungen erbracht werden. Für eine Anhörung ist es erforderlich, dass der Dienstleister über die geplanten Maßnahmen informiert ist und ausreichend Gelegenheit zur Stellungnahme erhält." + } + ] + }, + { + "id": "DLS.3.5", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Blockierung unzuverlässiger Dienstleister", + "props": [ + { + "name": "alt-identifier", + "value": "b2b77218-8ec2-415d-8f12-06c7f4cb3f7a" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten, Exit-Strategie" + } + ], + "links": [ + { + "href": "#BES.3.2", + "rel": "related" + } + ], + "parts": [ + { + "id": "DLS.3.5_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Prozess Beschaffung" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "unzuverlässige Dienstleister oder Subdienstleister" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "blockieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Dienstleistersteuerung SOLLTE unzuverlässige Dienstleister oder Subdienstleister blockieren." + }, + { + "id": "DLS.3.5_gdn", + "name": "guidance", + "prose": "Ein Dienstleister gilt als unzuverlässig, wenn zukünftig mit Verstößen gegen die Schutzziele Vertraulichkeit, Verfügbarkeit oder Integrität durch ihn zu rechnen ist (d.h. eine Prognose der Vertrauenswürdigkeit). Dies ist insbesondere dann der Fall, wenn erhebliche Verstöße gegen die Schutzziele bereits durch ihn begangen wurden oder Anzeichen dafür vorliegen, dass bei einer weiteren Verwendung mit solchen Verstößen zu rechnen ist. Beispielsweise kann dies eintreten, wenn die Verwendung des DNS-Servers eines wirtschaftlichen Konkurrenten diesem die schützenswerten Adressen von der Institution besuchter Internetseiten ausliefert oder eine Behörde Software mit Internetzugriff einsetzen möchte, die jedoch von einem Hersteller stammt, dessen Hauptsitz in einem öffentlich für politische Spionage bekannten Staat liegt. Dies kann durch eine Liste blockierter Vertragspartner umgesetzt werden. Eine Umsetzung für Subdienstleister kann z.B. durch die Benennung autorisierter Subdienstleister, oder die Weitergabe von Kriterien für Subdienstleister an den Dienstleister erfolgen." + } + ] + }, + { + "id": "DLS.3.6", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Portabilität", + "params": [ + { + "id": "dls.3.6-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "2563b59c-b3da-4bdd-99cd-3eedb94c0abb" + } + ], + "label": "regelmäßig" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "2563b59c-b3da-4bdd-99cd-3eedb94c0abb" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten, Exit-Strategie" + } + ], + "parts": [ + { + "id": "DLS.3.6_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Outsourcing" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Übungs- und Prüfplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Portabilität des ausgelagerten Prozesses" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{regelmäßig}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überprüfen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Dienstleistersteuerung für Outsourcing KANN die Portabilität des ausgelagerten Prozesses {{ insert: param, dls.3.6-prm1 }} überprüfen." + }, + { + "id": "DLS.3.6_gdn", + "name": "guidance", + "prose": "Hierunter ist zu verstehen, dass regelmäßig ein Test durchgeführt wird, bei dem die Funktionsfähigkeit des ausgelagerten (Teil-) Prozesses in einer Umgebung, die nicht bei diesem Dienstleister liegt, überprüft wird. Ziel ist es sicherzustellen, dass der Prozess bei einem Ausfall des Dienstleisters an anderer Stelle zeitnah gestartet werden kann." + } + ] + } + ] + }, + { + "id": "DLS.4", + "title": "Dekommissionierung von Dienstleistern", + "props": [ + { + "name": "label", + "value": "4" + }, + { + "name": "alt-identifier", + "value": "79ec9403-2fb2-4bae-bb5c-eac9e5d8d607" + } + ], + "controls": [ + { + "id": "DLS.4.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Dekomissionierung", + "props": [ + { + "name": "alt-identifier", + "value": "a78062a0-7fff-43a7-906a-6db806cf6822" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten, Exit-Strategie" + } + ], + "links": [ + { + "href": "#BES.6.1", + "rel": "related" + } + ], + "parts": [ + { + "id": "DLS.4.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Dienstleistungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Betriebshandbuch" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine Vorgehensweise zur Dekommissionierung" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "vor Vertragsende" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Dienstleistersteuerung für Dienstleistungen SOLLTE eine Vorgehensweise zur Dekommissionierung vor Vertragsende verankern." + }, + { + "id": "DLS.4.1_gdn", + "name": "guidance", + "prose": "Der Begriff Dekommissionierung bezeichnet hier das strukturierte und nachweisbare Vorgehen, wie eine Institution die Nutzung eines Dienstes oder die Zusammenarbeit mit einem Dienstleister kontrolliert beendet, ohne dass Informationssicherheit, Verfügbarkeit oder Nachvollziehbarkeit beeinträchtigt werden. Der Sinn dieser Vorgabe liegt darin, Risiken wie den unkontrollierten Verbleib sensibler Daten bei einem Dienstleister oder unerkannte Abhängigkeiten von dessen Infrastruktur zu vermeiden. Ohne ein definiertes Vorgehen könnte etwa ein Anbieter weiterhin Zugriff auf produktive Systeme behalten oder Kopien vertraulicher Daten in seiner Umgebung zurückhalten, was ein erhebliches Risiko darstellen könnte. Die praktische Umsetzung kann in mehreren abgestuften Maßnahmen bestehen: (1) Ein geplanter Abschalttermin kann genutzt werden, um Systeme, Schnittstellen und Berechtigungen kontrolliert zurückzubauen und anschließend durch ein Freigabeprotokoll zu bestätigen. (2) Ein Prozessleitfaden kann die frühzeitige Identifikation von zu dekommissionierenden Schnittstellen, Zugangsdaten und Subdienstleistern vorsehen, damit deren Abschaltung rechtzeitig koordiniert werden kann. (3) Eine Checkliste kann sicherstellen, dass auch weniger offensichtliche Abhängigkeiten – etwa hinterlegte API-Tokens, Support-Zugänge oder im Monitoring integrierte Endpunkte – im Abschlussprozess berücksichtigt werden. (4) Technisch kann die Nutzung von zentral verwalteten Zugriffskonten und Logging-Systemen die Überprüfung erleichtern, ob ein Dienstleister nach der Deaktivierung tatsächlich keinen Zugriff mehr hat. Auf diese Weise kann die Institution die Dienstleistersteuerung auch vorzeitig geordnet beenden, ohne dass Informationssicherheitsrisiken unkontrolliert fortbestehen." + } + ], + "controls": [ + { + "id": "DLS.4.1.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Unabhängigkeit", + "props": [ + { + "name": "alt-identifier", + "value": "d37125e2-68cd-4e75-9da9-d4af0b4dd051" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten, Exit-Strategie" + } + ], + "parts": [ + { + "id": "DLS.4.1.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Outsourcing" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Ergebnisprotokoll" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Unabhängigkeit der Verarbeitung schützenswerter Informationen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "vor der Außerbetriebnahme" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "testen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Dienstleistersteuerung für Outsourcing SOLLTE die Unabhängigkeit der Verarbeitung schützenswerter Informationen vor der Außerbetriebnahme testen." + }, + { + "id": "DLS.4.1.1_gdn", + "name": "guidance", + "prose": "„Unabhängigkeit der Verarbeitung“ meint hier die Fähigkeit, dass die Nutzung von Informationen in Geschäftsprozessen der Institution nicht von den Systemen, Verfahren oder Interessen des externen Dienstleisters abhängig ist, sodass ihre Integrität, Verfügbarkeit und Vertraulichkeit auch nach einer Außerbetriebnahme des Outsourcings gewährleistet bleibt. Die Vorschrift dient dem Zweck, die Risiken zu minimieren, die entstehen können, wenn ein Dienstleister seine Leistung einstellt, Verträge beendet werden oder ein abruptes Ende der Zusammenarbeit erfolgt. Ohne Vorkehrungen könnte dies dazu führen, dass kritische Daten unzugänglich bleiben, unkontrolliert gelöscht werden oder in Abhängigkeit von proprietären Formaten verloren gehen. Zur Umsetzung kann die Institution verschiedene Maßnahmen prüfen: (1) Ein systematischer Test, ob Daten in standardisierten, portablen Formaten exportierbar sind und in eigenen oder alternativen Systemen fehlerfrei weiterverarbeitet werden können. (2) Ein Probelauf, bei dem die Verbindung zum Dienstleister gezielt getrennt wird, um zu überprüfen, ob die Institution ihre Geschäftsprozesse auch ohne aktive Anbindung fortführen kann. (3) Ein kontrolliertes Abschalten einzelner vom Dienstleister erbrachter Dienste, um zu verifizieren, ob vorbereitete Ersatzprozesse oder interne Systeme die Funktion übernehmen. (4) Eine Teststellung für die Rückgabe von Datenbeständen am Ende der Vertragslaufzeit, bei der die Vollständigkeit, Konsistenz und Nutzbarkeit der gelieferten Daten geprüft wird. Mit solchen Maßnahmen kann die Institution sicherstellen, dass die Verarbeitung schützenswerter Informationen eigenständig aufrechterhalten werden kann." + } + ] + }, + { + "id": "DLS.4.1.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Berechtigungen deaktivieren", + "props": [ + { + "name": "alt-identifier", + "value": "3449b68e-a78f-4090-9092-6e1a65dd7c2a" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten, Exit-Strategie" + } + ], + "links": [ + { + "href": "#BER.1.1", + "rel": "related" + } + ], + "parts": [ + { + "id": "DLS.4.1.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Dienstleistungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Betriebshandbuch" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "für den Vertrag benötigte Berechtigungen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "bei Vertragsende unverzüglich" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "deaktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Dienstleistersteuerung für Dienstleistungen SOLLTE für den Vertrag benötigte Berechtigungen bei Vertragsende unverzüglich deaktivieren." + }, + { + "id": "DLS.4.1.2_gdn", + "name": "guidance", + "prose": "Berechtigungen sind hier alle Zugangs-, Zutritts- und Zugriffsrechte, die von der Institution für Mitarbeitende, Organisationseinheiten oder Subunternehmer des Dienstleisters eingerichtet oder geändert wurden. Hierzu können diese Rechte gelöscht, deaktiviert oder reduziert werden, soweit sie nicht mehr (z.B. für andere Verträge) benötigt werden." + } + ] + } + ] + } + ] + } + ] + }, + { + "id": "TEST", + "title": "Änderungen und Tests", + "props": [ + { + "name": "label", + "value": "TEST", + "remarks": "Die Praktik \"Änderungen und Tests\" stellt sicher, dass alle geplanten Veränderungen an Informationssystemen systematisch und kontrolliert ablaufen, um ungewollte Störungen, Sicherheitsrisiken oder Compliance-Verstöße zu vermeiden (Change Management). Sie umfasst die Vorbereitung, Planung und Durchführung von Tests, die Freigabe und den Rollout von Änderunge, sowie die begleitende Dokumentation." + }, + { + "name": "alt-identifier", + "value": "554ba2da-7317-4792-8548-141250039260" + } + ], + "groups": [ + { + "id": "TEST.1", + "title": "Grundlagen", + "props": [ + { + "name": "label", + "value": "1" + }, + { + "name": "alt-identifier", + "value": "94bfadab-43f6-48d7-ac5e-49b8fbcf2794" + } + ], + "controls": [ + { + "id": "TEST.1.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Verfahren und Regelungen", + "params": [ + { + "id": "test.1.1-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "90b547d2-dd84-4344-8432-5ecf460cbcb6" + } + ], + "label": "für den Informationsverbund, pro Geschäftsprozess oder pro IT-System" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "90b547d2-dd84-4344-8432-5ecf460cbcb6" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "TEST.1.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Verfahren und Regelungen zum Management von Neueinführungen, Änderungen oder der Entfernung von Komponenten" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{für den Informationsverbund, pro Geschäftsprozess oder pro IT-System}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Änderungen und Tests MUSS Verfahren und Regelungen zum Management von Neueinführungen, Änderungen oder der Entfernung von Komponenten {{ insert: param, test.1.1-prm1 }} verankern." + }, + { + "id": "TEST.1.1_gdn", + "name": "guidance", + "prose": "Verfahren und Regelungen beschreiben die formalisierten Abläufe, nach denen Änderungen an informationstechnischen Komponenten – also Hardware, Software oder Konfigurationen – geplant, bewertet, genehmigt und umgesetzt werden; im Englischen ist hier oft von Change Management Procedures die Rede. Weil moderne Infrastrukturen komplexe Abhängigkeiten haben, könnten Änderungen an Systemen und Anwendungen sonst zu unbeabsichtigten Ausfällen oder Sicherheitslücken führen. Dies betrifft auch die Neueinführung von Systemen oder Anwendungen in den Informationsverbund, oder deren Entfernung. Das Ziel der Änderung können Sicherheitsaktualisierungen ebenso wie funktionelle Änderungen sein, da sich auch vermeintlich rein funktionelle Änderungen häufig auf die Sicherheit auswirken. KPI zur Leistungsmessung können z.B. die Fehlerquote bei Änderungen (CFR), die mittlere Wiederherstellungszeit (MTTR) und die Vorlaufzeit für Änderungen (Lead Time) sein. Die Verfahren und Regelungen können dabei entweder einheitlich für den gesamten Informationsverbund, oder alternativ pro Geschäftsprozess oder (Kategorie von) IT-System festgelegt werden, um spezifischen Risiken oder Kontexten gerecht zu werden. Die Umsetzung kann in einem eigenen Prozess, oder integriert in andere Prozesse und Aufgaben, erfolgen. Die bei der Festlegung des Verfahrens im Einzelnen zu berücksichtigenden Inhalte ergeben sich aus den Anforderungen dieser Praktik." + } + ], + "controls": [ + { + "id": "TEST.1.1.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Dokumentation", + "props": [ + { + "name": "alt-identifier", + "value": "84b22af7-e18f-4eef-90ee-824d03ed6794" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "TEST.1.1.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Verfahren und Regelungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Änderungen und Tests MUSS die Verfahren und Regelungen dokumentieren." + }, + { + "id": "TEST.1.1.1_gdn", + "name": "guidance", + "prose": "Ohne eine Dokumentation könnte die Einhaltung der Verfahren und Regelungen von der Tagesform oder dem individuellen Wissen einzelner Mitarbeiter abhängen, was zu inkonsistenten Entscheidungen und Fehlern führen könnte; insbesondere beim Ausscheiden eines langjährigen Administrators könnte wertvolles prozessuales Wissen verloren gehen. Eine klare Dokumentation sichert die Verbindlichkeit und Wiederholbarkeit und dient als unverzichtbare Grundlage für die Einarbeitung neuer Kollegen, für die Durchführung von Audits und zur einheitlichen Anwendung der Regeln in der gesamten Institution. Die Dokumentation kann in einem eigenständigen Dokument als Richtlinie erfolgen, aber auch als Abschnitt in einem bereits bestehenden Dokument oder über die digital strukturiere Erfassung von Maßnahmen zur Umsetzung der Anforderungen, etwa über eine Software zum Management der Informationssicherheit. Sinnvoll ist es Ort und Struktur der Dokumentation an der jeweiligen Zielgruppe, d.h. den für das Management und die Umsetzung verantwortlichen Personen oder Rollen, auszurichten." + } + ] + }, + { + "id": "TEST.1.1.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Zuweisung der Aufgaben", + "params": [ + { + "id": "test.1.1.2-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "c6cf1fc0-2c5f-473d-858a-ca7c417f272a" + } + ], + "label": "zuständigen Personen oder Rollen" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "c6cf1fc0-2c5f-473d-858a-ca7c417f272a" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "TEST.1.1.2_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Geschäftsverteilungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die mit den Verfahren und Regelungen verbundenen Aufgaben" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{zuständigen Personen oder Rollen}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "zuweisen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Änderungen und Tests MUSS die mit den Verfahren und Regelungen verbundenen Aufgaben {{ insert: param, test.1.1.2-prm1 }} zuweisen." + }, + { + "id": "TEST.1.1.2_gdn", + "name": "guidance", + "prose": "Die Zuweisung von Aufgaben bezeichnet die eindeutige und verbindliche Übertragung von konkreten Tätigkeiten und Verantwortlichkeiten des Änderungsprozesses, wie etwa die Risikobewertung, die technische Umsetzung oder die finale Freigabe, an definierte Stellen in der Institution. Der Sinn dieser Vorschrift ist es, die Verantwortlichkeit (\"Accountability\") für jeden einzelnen Schritt im Prozess klarzustellen. Ohne eine solche Zuweisung könnten kritische Prüfungen unterbleiben, weil sich niemand explizit zuständig fühlt, was wiederum die Wahrscheinlichkeit fehlgeschlagener Änderungen erhöht. Eine klare Regelung kann sicherstellen, dass keine Aufgaben übersehen werden und jede Tätigkeit von einer dafür qualifizierten und befugten Stelle ausgeführt wird, was die Prozesssicherheit signifikant erhöht. Eine bewährte Methode zur Umsetzung ist die Erstellung einer RACI-Matrix (Responsible, Accountable, Consulted, Informed), die tabellarisch für jeden Prozessschritt darstellt, wer für die Durchführung verantwortlich ist, wer die Gesamtverantwortung trägt, wer zu konsultieren und wer zu informieren ist. Diese Zuständigkeiten können auch direkt in einem Workflow- oder Ticketsystem abgebildet werden, sodass Aufgaben, wie beispielsweise Genehmigungsschritte, automatisch an die richtige Gruppe oder Person weitergeleitet werden. Sinnvoll ist es die Zuweisung anhand von Rollen (z.B. \"Anwendungsverantwortlicher\", \"Netzwerkadministrator\", \"Change Manager\") vorzunehmen, statt an konkrete Personen. Dieser Ansatz stellt sicher, dass die Prozesse auch bei Personalwechseln stabil weiterlaufen, da die Zuständigkeit an die Funktion und nicht an das Individuum gebunden ist." + } + ] + }, + { + "id": "TEST.1.1.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Bekanntgabe", + "props": [ + { + "name": "alt-identifier", + "value": "8b0e6953-2916-48ed-aed9-44a06f83fe77" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "TEST.1.1.3_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die zuständigen Personen oder Rollen über die Verfahren und Regelungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "informieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Änderungen und Tests MUSS die zuständigen Personen oder Rollen über die Verfahren und Regelungen informieren." + }, + { + "id": "TEST.1.1.3_gdn", + "name": "guidance", + "prose": "Wenn die Zuständigen die etablierten Verfahren nicht kennen, besteht die Gefahr, dass diese – sei es aus Unwissenheit oder Bequemlichkeit – umgangen werden, was die Schutzwirkung des gesamten Managementsystems untergräbt. So könnte ein neuer Systemadministrator eine weitreichende Konfigurationsänderung vornehmen, ohne den vorgeschriebenen Genehmigungsprozess zu durchlaufen, was zu einem unbemerkten Sicherheitsrisiko führen könnte. Eine gezielte Information kann hingegen die Akzeptanz der Regelungen fördern und sicherstellen, dass alle Beteiligten ihre Rolle im Prozess verstehen und die Abläufe korrekt anwenden. Zur Umsetzung ist es sinnvoll die Dokumentation im Rahmen eines Onboarding-Prozesses bekanntzugeben und bei allen Änderungen eine automtatische Benachrichtigung aller zuständigen Personen oder Rollen anzustoßen." + } + ] + } + ] + }, + { + "id": "TEST.1.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Regelmäßige Überprüfung", + "params": [ + { + "id": "test.1.2-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "d7d1a4e4-2fbc-404c-a245-a82174f694d4" + } + ], + "label": "regelmäßig" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "d7d1a4e4-2fbc-404c-a245-a82174f694d4" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "TEST.1.2_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Übungs- und Prüfplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Verfahren und Regelungen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{regelmäßig}} und anlassbezogen auf Aktualität" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überprüfen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Änderungen und Tests MUSS die Verfahren und Regelungen {{ insert: param, test.1.2-prm1 }} und anlassbezogen auf Aktualität überprüfen." + }, + { + "id": "TEST.1.2_gdn", + "name": "guidance", + "prose": "Eine geplante Überprüfung der etablierten Verfahren und Regelungen dient dazu festzustellen, ob diese noch wirksam, effizient und an die aktuellen Gegebenheiten angepasst sind. Eine anlassbezogene Überprüfung wird durch spezifische Ereignisse ausgelöst, wie etwa einen schwerwiegenden Sicherheitsvorfall, eine strategische Neuausrichtung der IT oder neue gesetzliche Anforderungen. Der Zweck dieser Anforderung ist es, die kontinuierliche Verbesserung und Anpassungsfähigkeit des Prozesses sicherzustellen, da veraltete Regelungen neuen technologischen Entwicklungen oder Bedrohungen nicht mehr gerecht werden könnten; ein vor Jahren für monolithische Anwendungen konzipierter Prozess ist beispielsweise für agile Entwicklungsmethoden oder Microservice-Architekturen ungeeignet. Die regelmäßige Überprüfung kann die Effektivität des Sicherheitsmanagements langfristig aufrechterhalten und die Resilienz der Institution stärken." + } + ] + }, + { + "id": "TEST.1.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Einschränkung von Änderungen", + "props": [ + { + "name": "alt-identifier", + "value": "85d5939d-b2e4-419f-9205-ad1e2a61cb7c" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + } + ], + "parts": [ + { + "id": "TEST.1.3_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Durchführung von Änderungen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "auf Administrierende" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "einschränken" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Änderungen und Tests SOLLTE die Durchführung von Änderungen auf Administrierende einschränken." + }, + { + "id": "TEST.1.3_gdn", + "name": "guidance", + "prose": "Ziel ist es, zu verhindern, dass unautorisierte Personen Eingriffe in produktive Systeme vornehmen. Ohne diese Einschränkung könnte Schadcode eingeschleust werden, Konfigurationen unbeabsichtigt verändert oder sensible Daten offengelegt werden. Die klare Zuweisung an Administrierende kann gleichzeitig sicherstellen, dass Änderungen nachvollziehbar und fachgerecht durchgeführt werden, wodurch die Stabilität und Verfügbarkeit von Systemen geschützt werden kann. Eine Institution kann die Anforderung beispielsweise durch folgende Maßnahmen umsetzen: (1) Verwendung von Rollenkonzepten, bei denen nur Administrierende Schreibrechte in produktiven Systemen besitzen, während anderen Rollen lediglich Leserechte eingeräumt werden können, (2) Einsatz von Testumgebungen oder Sandbox-Systemen, in denen auch Nicht-Administrierende Änderungen gefahrlos vorbereiten und dokumentieren können, (3) Einführung von Change-Management-Workflows mit Genehmigungsschritten, so dass Administrierende Änderungen erst nach dokumentierter Prüfung umsetzen können, und (4) Einsatz von technischen Kontrollmechanismen wie „Just-in-Time“-Privilegien oder Protokollierung von administrativen Sitzungen, wodurch die Nachvollziehbarkeit und Integrität der Änderungen verbessert werden kann." + } + ] + } + ] + }, + { + "id": "TEST.2", + "title": "Vorbereitung", + "props": [ + { + "name": "label", + "value": "2" + }, + { + "name": "alt-identifier", + "value": "04395293-6d5e-46e8-bc4b-d1ce49d08c7d" + } + ], + "controls": [ + { + "id": "TEST.2.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Versionshistorie", + "props": [ + { + "name": "alt-identifier", + "value": "4fb97f16-4d41-49cb-99fe-ff623b2a2874" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "links": [ + { + "href": "#KONF.2.1.1", + "rel": "related" + } + ], + "parts": [ + { + "id": "TEST.2.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Audit Log" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine Versionshistorie" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "wesentlicher Änderungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "protokollieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Änderungen und Tests SOLLTE eine Versionshistorie wesentlicher Änderungen protokollieren." + }, + { + "id": "TEST.2.1_gdn", + "name": "guidance", + "prose": "Wesentlich sind Änderungen, wenn sie Auswirkungen auf die Informationssicherheit von Produktivsystemen und -anwendungen haben können, die über eine geringe Anzahl von Nutzenden hinausgeht." + } + ] + }, + { + "id": "TEST.2.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Folgenabschätzung", + "props": [ + { + "name": "alt-identifier", + "value": "fcba1d19-78ec-4d60-8760-f34c081c2386" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + } + ], + "parts": [ + { + "id": "TEST.2.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Administrierende" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "zu einer strukturierten Folgenabschätzung" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "vor wesentlichen Änderungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "anweisen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Änderungen und Tests für Administrierende SOLLTE zu einer strukturierten Folgenabschätzung vor wesentlichen Änderungen anweisen." + }, + { + "id": "TEST.2.2_gdn", + "name": "guidance", + "prose": "Sinnvoll ist es die Ausführlichkeit der Folgenabschätzung an Umfang und Reichweite der Änderungen, sowie dem Risikoprofil betroffener Assets zu orientieren: Empfehlenswert ist es die Änderungen je nach Abschätzung der Folgen in Klassen einzusortieren (z.B. Geringe Auswirkungen, Mittlere Auswirkungen, Hohe Auswirkungen) und die weitere Prüftiefe nach dieser Einstufung auszurichten." + } + ], + "controls": [ + { + "id": "TEST.2.2.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Kategorisierung von Änderungen", + "props": [ + { + "name": "alt-identifier", + "value": "fc6014c5-d95d-428b-96bd-9f5ef9fba660" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "TEST.2.2.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Änderungsvorhaben einer Kategorie" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "zuweisen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Änderungen und Tests SOLLTE Änderungsvorhaben einer Kategorie zuweisen." + }, + { + "id": "TEST.2.2.1_gdn", + "name": "guidance", + "prose": "Dabei werden Änderungen je nach Abschätzung der Folgen in Kategorien einsortiert, die im Verhältnis zu den möglichen Auswirkungen stehen (z.B. Geringe Auswirkungen, Mittlere Auswirkungen, Hohe Auswirkungen). Umfang und Tiefe der weiterer Prüfungen kann dann nach dieser Einstufung ausgerichtet werden." + } + ] + }, + { + "id": "TEST.2.2.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Anpassung der Dokumentation", + "props": [ + { + "name": "alt-identifier", + "value": "474497ca-0e99-4f0a-8f84-abdea042aa80" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + } + ], + "parts": [ + { + "id": "TEST.2.2.2_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Ergebnisprotokoll" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die geplanten Änderungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Änderungen und Tests SOLLTE die geplanten Änderungen dokumentieren." + }, + { + "id": "TEST.2.2.2_gdn", + "name": "guidance", + "prose": "Je nach Inhalt der Änderung können hierzu Konfigurationsdateien, Sicherheitsrichtlinien, oder begleitende Dokumente wie ein IT-Betriebshandbuch oder für Nutzende gedachte Anwenderhandbücher oder Wikis gehören." + } + ] + }, + { + "id": "TEST.2.2.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Dokumentation der Abhängigkeiten", + "props": [ + { + "name": "alt-identifier", + "value": "e3dfaa37-9789-4b95-8cbb-32e70addab94" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + } + ], + "parts": [ + { + "id": "TEST.2.2.3_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Systemdokumentation" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "von der Änderung betroffene Abhängigkeiten" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Änderungen und Tests SOLLTE von der Änderung betroffene Abhängigkeiten dokumentieren." + }, + { + "id": "TEST.2.2.3_gdn", + "name": "guidance", + "prose": "Betroffene Abhängigkeiten sind sowohl alle Systeme und Anwendungen, die durch die geplanten Änderungen beeinflusst werden könnten, als auch die Abhängigkeiten der zu ändernden Systeme oder Anwendungen selbst (Up- and Downstream Dependency Management). Hierzu können z.B. Programmquellbibliotheken, angebundene Systeme, Netzanbindungen oder Anwendungen zählen." + } + ] + } + ] + } + ] + }, + { + "id": "TEST.3", + "title": "Tests", + "props": [ + { + "name": "label", + "value": "3" + }, + { + "name": "alt-identifier", + "value": "b672005f-aa77-4dd4-9cb4-c5c1b1736b2a" + } + ], + "controls": [ + { + "id": "TEST.3.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Sicherheitstest", + "props": [ + { + "name": "alt-identifier", + "value": "2edf4a68-0d86-4da9-ada4-9939c2508f2c" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "links": [ + { + "href": "#DET.5.3", + "rel": "related" + } + ], + "parts": [ + { + "id": "TEST.3.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Freigabeplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "vor wesentlichen Änderungen die Einhaltung der Sicherheitsanforderungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "testen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Änderungen und Tests SOLLTE vor wesentlichen Änderungen die Einhaltung der Sicherheitsanforderungen testen." + }, + { + "id": "TEST.3.1_gdn", + "name": "guidance", + "prose": "Änderungen sind wesentlich, wenn sie die Informationssicherheit von Produktivsystemen und -anwendungen betreffen und über eine geringe Anzahl von Nutzenden hinaus Auswirkungen haben können. Dabei sind sowohl die Sicherheitsanforderungen relevant, die direkt durch IT-Produkte umgesetzt werden (technische Anforderungen), als auch die prozessualen Anforderungen, die von der Änderung betroffen sind, etwa zur Überwachung von Ereignissen oder zur Sensibilisierung des Personals. Die Sicherheitsanforderungen ergeben sich aus den für das jeweilige Zielobjekt geltenden Vorgaben aus allen Praktiken. Sowohl die Funktionalität einzelner Module als auch das Zusammenspiel von Schnittstellen ist wichtig, um Sicherheitslücken frühzeitig zu erkennen." + } + ], + "controls": [ + { + "id": "TEST.3.1.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Dokumentation von Testergebnissen", + "props": [ + { + "name": "alt-identifier", + "value": "b7a747d3-cb11-46ce-8d0c-c57cc31d5ad5" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + } + ], + "parts": [ + { + "id": "TEST.3.1.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Freigabeplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Tests" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "einschließlich Prüfschritte, Ergebnissen und ggf. vorgenommenen Korrekturen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Änderungen und Tests SOLLTE Tests einschließlich Prüfschritte, Ergebnissen und ggf. vorgenommenen Korrekturen dokumentieren." + }, + { + "id": "TEST.3.1.1_gdn", + "name": "guidance", + "prose": "Die Dokumentation von Tests zielt primär darauf ab, Transparenz und Nachvollziehbarkeit bei Änderungen zu gewährleisten, was das Risiko unbeabsichtigter Sicherheitslücken, Systemausfälle oder Datenverluste erheblich reduzieren kann. Ohne strukturierte Testdokumentation könnten beispielsweise fehlerhafte Konfigurationsänderungen unbemerkt in Produktivsysteme gelangen, was potenziell zu Verfügbarkeitsstörungen, verfälschten Daten oder kompromittierten Anwendungen führen könnte. Ein dokumentierter Testprozess ermöglicht zudem eine effektive Ursachenanalyse bei auftretenden Störungen, da alle durchgeführten Änderungen mit ihren beabsichtigten Wirkungen transparent nachvollzogen werden können. Eine nachvollziehbare und digital strukturierte Verknüpfung von Anforderung zu Prüfschritt und Prüfergebnissen kann durch OSCAL-Dokumente als strukturierte Daten erstellt werden. Gezielte Tests vor wesentlichen Änderungen tragen dazu bei, unbeabsichtigte Schwachstellen zu vermeiden, die zu unbefugtem Datenzugriff, Verlust von Geschäftsinformationen oder Ausfällen kritischer Systeme führen könnten. Je nach Art und Umfang der Änderungen lassen sich beispielsweise physische Zustände oder die Ausführung von Systemfunktionen verifizieren. Dabei werden sowohl die gewünschten Sicherheitsfunktionen als auch unerwünschte Zustände getestet, zum Beispiel, dass keine unautorisierten Funktionen aktiviert sind oder Apps ungewollt mit unbekannten Internetservern kommunizieren. Anwendbare Testarten umfassen statische und dynamische Tests, Unit- und Integrationstests sowie Regressionstests. Relevant ist dabei sowohl das Testen von manuellen Eingaben über die Benutzerschnittstelle als auch der Zugriffe über das Netzwerk, etwa über eine API. Die Tests können automatisiert (z. B. Unit-Tests, CI/CD-Tests, Schwachstellenscanner) oder manuell unterstützt (z. B. Click-Tests oder die Auswertung von LLM-Zusammenfassungen) durchgeführt werden. Sinnvoll ist es, automatische Tests für alle Funktionen und Codepfade einzusetzen, ergänzt durch manuelle Tests der wichtigsten Funktionen, wie Authentifizierung und Verschlüsselung, sowie durch Stichproben der übrigen Funktionen." + } + ] + }, + { + "id": "TEST.3.1.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Integritätstest", + "props": [ + { + "name": "alt-identifier", + "value": "f59da6fb-9fb8-4eaa-b338-1081e9094029" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "links": [ + { + "href": "#DET.5.10.4", + "rel": "related" + } + ], + "parts": [ + { + "id": "TEST.3.1.2_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Freigabeplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Integrität von Installationsdateien" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "testen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Änderungen und Tests SOLLTE die Integrität von Installationsdateien testen." + }, + { + "id": "TEST.3.1.2_gdn", + "name": "guidance", + "prose": "Dies kann z.B. durch Vergleich von Prüfsummen geschehen. Wenn möglich ist der Einsatz automatisierter Prüfungen empfehlenswert, es kann aber auch ein manueller Abgleich z.B. mit der Herstellerwebseite erfolgen." + } + ] + }, + { + "id": "TEST.3.1.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Testdaten", + "props": [ + { + "name": "alt-identifier", + "value": "8a88300f-98ee-41e3-9622-be00c705f252" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + } + ], + "parts": [ + { + "id": "TEST.3.1.3_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Testfälle abdeckende, aber unkritische Testdaten" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Änderungen und Tests SOLLTE die Testfälle abdeckende, aber unkritische Testdaten verankern." + }, + { + "id": "TEST.3.1.3_gdn", + "name": "guidance", + "prose": "Testdaten (engl. test data) sind synthetisch erstellte oder abstrahierte Daten, die zur Durchführung von Testfällen genutzt werden. „Unkritisch“ bedeutet hier, dass die Daten keinen schützenswerten Daten wie Geschäftsgeheimnisse oder sicherheitsrelevanten Konfigurationsdetails enthalten. Testfälle (engl. test cases) sind vorab definierte Szenarien oder Abläufe, die das Verhalten einer Anwendung oder eines Systems gezielt prüfen sollen. Der Zweck der Anforderung liegt darin, sicherzustellen, dass Testaktivitäten einerseits realistische Bedingungen nachbilden, andererseits aber keine Risiken durch unbeabsichtigte Preisgabe oder Manipulation produktiver Daten entstehen. Ein Vorfall könnte beispielsweise darin bestehen, dass versehentlich echte Kundendaten in einer Testumgebung landen und durch unzureichende Sicherung Dritten zugänglich werden; durch den Einsatz unkritischer Testdaten kann dieses Risiko vermieden und dennoch die Qualität der Tests gewährleistet werden. Eine Institution kann die Anforderung praktisch umsetzen, indem sie Testdatensätze automatisiert generieren lässt, etwa durch Anonymisierung oder Pseudonymisierung produktiver Daten oder durch die Nutzung von Zufallswerten, die für Testlogik realistisch wirken. Zusätzlich kann es hilfreich sein, Regeln für Entwickler und Tester festzulegen, die dokumentieren, welche Arten von Daten zulässig sind. Auch Tools zur data masking oder synthetic data generation können verwendet werden, um komplexe Datenstrukturen ohne reale Inhalte nachzubilden." + } + ] + }, + { + "id": "TEST.3.1.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Testumgebung", + "props": [ + { + "name": "alt-identifier", + "value": "9c86f2de-9a7a-4fff-b833-7e596fdb32a8" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + } + ], + "links": [ + { + "href": "#ARCH.7.3", + "rel": "related" + }, + { + "href": "#ARCH.2.2.8", + "rel": "related" + } + ], + "parts": [ + { + "id": "TEST.3.1.4_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine dedizierte Testumgebung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "installieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Änderungen und Tests SOLLTE eine dedizierte Testumgebung installieren." + }, + { + "id": "TEST.3.1.4_gdn", + "name": "guidance", + "prose": "Eine dedizierte Testumgebung (auch Entwicklungsumgebung oder Laborumgebung genannt) ist hier eine von der Produktionsumgebung unabhängige Infrastruktur, die speziell für die Durchführung von Änderungen, Prüfungen und Qualitätssicherungsmaßnahmen vorgesehen ist. Sie dient dazu, geplante Anpassungen, Updates oder Neuentwicklungen realistisch nachzustellen, ohne die Verfügbarkeit oder Integrität der produktiven Systeme und Daten zu gefährden. Zur Produktivumgebung zählen dabei auch Betriebssysteme, verwendete Datenbanken und Netzschnittstellen. Dediziert bedeutet in diesem Zusammenhang, dass Ressourcen – beispielsweise Server, Datenbanken, Netzsegmente oder virtuelle Umgebungen – ausschließlich für Testzwecke bereitgestellt werden und nicht gleichzeitig produktiven Aufgaben dienen. Der Zweck dieser Vorgabe liegt darin, unbeabsichtigte Auswirkungen von Änderungen auf laufende Systeme zu vermeiden. Ohne eine solche Testumgebung könnte ein fehlerhaftes Update unmittelbar zu Produktionsausfällen führen oder sensible Daten unbeabsichtigt preisgeben. Eine Trennung kann dagegen sicherstellen, dass Schwachstellen oder Inkompatibilitäten frühzeitig erkannt werden, wodurch die Stabilität und Sicherheit der produktiven Systeme erhalten bleiben. Zur Umsetzung kann eine Institution verschiedene Maßnahmen einsetzen: (1) Sie kann separate physische oder virtuelle Serverlandschaften bereitstellen, die die Produktionsumgebung realitätsnah abbilden. (2) Sie kann Testdatenbanken mit anonymisierten oder synthetisch generierten Daten nutzen, um Datenschutzrisiken zu vermeiden. (3) Sie kann durch ein definiertes Deployment-Verfahren sicherstellen, dass Änderungen zunächst automatisiert in die Testumgebung ausgerollt und dort validiert werden, bevor eine Freigabe für die Produktion erfolgt." + } + ] + }, + { + "id": "TEST.3.1.5", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Kontinuierliche Tests", + "props": [ + { + "name": "alt-identifier", + "value": "73fab6c7-c60f-4ee5-bd97-e842915cf98d" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "parts": [ + { + "id": "TEST.3.1.5_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Freigabeplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Auswirkungen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "bei jeder Änderung automatisch" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "testen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Änderungen und Tests KANN die Auswirkungen bei jeder Änderung automatisch testen." + }, + { + "id": "TEST.3.1.5_gdn", + "name": "guidance", + "prose": "„Automatisch testen“ meint den Einsatz technischer Verfahren oder Werkzeuge („continuous testing“), um bei Änderungen an Systemen oder Anwendungen unmittelbar und ohne manuelles Eingreifen Prüfungen auszuführen. Gemeint sind hier vordefinierte Testszenarien, die mit jedem Update, Patch oder Konfigurationswechsel ablaufen und systematisch überprüfen, ob die vorgesehenen Funktionen erhalten bleiben und ob unerwünschte Nebenwirkungen auftreten. Der Zweck liegt darin, dass Änderungen zwar notwendig sind, diese aber unbeabsichtigte Sicherheitslücken oder Funktionsstörungen mit sich bringen könnten – ein fehlerhaftes Update könnte beispielsweise Authentifizierungsprozesse umgehen lassen oder kritische Daten unzugänglich machen. Durch automatisierte Tests kann die Institution dagegen frühzeitig erkennen, ob eine Änderung die Vertraulichkeit, Integrität oder Verfügbarkeit gefährden könnte, und die Fehlerquote im Betrieb insgesamt senken. Umsetzungsmöglichkeiten können unterschiedlich gestaltet werden: Eine Institution kann (1) Continuous-Integration/Continuous-Delivery-Pipelines (CI/CD) einrichten, in die automatisierte Unit- und Integrationstests integriert sind, (2) produktionsnahe Szenarien in Testumgebungen abbilden und in denen Sicherheitstests automatisch mitlaufen, oder (3) Skripte einsetzen, die nach Konfigurationsänderungen direkt auf bekannte Schwachstellen oder das Vorhandensein von Sicherheitsfunktionen prüfen. Auch die Verwendung von Regressionstests, die kritische Kernfunktionen gezielt wiederholt prüfen, kann ein bewährtes Mittel sein, um sicherzustellen, dass durch eine Änderung keine unbeabsichtigten Seiteneffekte ausgelöst werden. Automatische Test ermöglichen es auch die Dokumentation der Testergebnisse automatisiert zu erstellen, sodass Verantwortliche sofort eine Übersicht über den Status erhalten." + } + ] + }, + { + "id": "TEST.3.1.6", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Chaos Engineering", + "props": [ + { + "name": "alt-identifier", + "value": "32a4ff7c-ee41-4d31-8a1e-f15ea1373181" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "parts": [ + { + "id": "TEST.3.1.6_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Freigabeplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Resilienz bei Simulation verschiedenartiger Störungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "testen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Änderungen und Tests KANN die Resilienz bei Simulation verschiedenartiger Störungen testen." + }, + { + "id": "TEST.3.1.6_gdn", + "name": "guidance", + "prose": "Chaos Engineering kann helfen, die Zuverlässigkeit von Systemen oder Anwendungen zu erhöhen, indem es die Resilienz, also die Fähigkeit bei störenden Einflüssen den Betrieb fortzusetzen oder wiederherzustellen, durch simulierte Ausfälle oder Störungen testet. Dabei ist jedoch zu beachten, dass dabei keine geschäftskritischen, im Betrieb befindlichen Dienste gestört werden. Daher ist der Ansatz nur nach einer Analyse und Abwägung der Risiken sinnvoll. Zweckmäßig ist es dabei, geschäftskritische Systeme und Anwendungen mit hohen Auswirkungen zu priorisieren, häufige Ausfallmodi zu testen, kritische Abhängigkeiten unter Stress zu setzen, vergangene Vorfälle nachzubilden und Systemannahmen durch methodische Prozesse zu hinterfragen. Hierzu kann eine Karte der Abhängigkeiten verwendet werden oder eine Analyse kritischer Pfade. Wertvolle Experimente können Netzwerkbeeinträchtigungen, Dienstausfälle, Abhängigkeitsunterbrechungen, Ressourcenerschöpfung, Multiregionsausfälle und Zeitsynchronisationsprobleme umfassen. Geschäftskritische Dienste können dabei z.B. durch eine Begrenzung auf bestimmte Systeme, oder Durchführung solcher Tests nur außerhalb der Betriebszeiten geschützt werden." + } + ] + }, + { + "id": "TEST.3.1.7", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Analyse der Zusammensetzung", + "props": [ + { + "name": "alt-identifier", + "value": "ab876d7f-a36e-4efe-94b3-d62af35b3ca8" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "parts": [ + { + "id": "TEST.3.1.7_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Freigabeplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Zusammensetzung der Änderungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "testen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Änderungen und Tests KANN die Zusammensetzung der Änderungen testen." + }, + { + "id": "TEST.3.1.7_gdn", + "name": "guidance", + "prose": "Eine Analyse der Zusammensetzung (Composition Analysis) ist die systematische Untersuchung und Bewertung der Bestandteile einer Software oder eines Systems – insbesondere in Bezug auf deren Herkunft, Eigenschaften und potenzielle Schwachstellen. Hierzu können auch (teil-)automatisierte Lösungen eingesetzt werden, z.B. können SBOMs in eine Plattform zur Verwaltung von Schwachstellen importiert werden, die eine Bereitstellung blockiert, wenn eine CVSS ≥ 9.0-Schwachstelle keine kompensierende Maßnahme hat." + } + ] + }, + { + "id": "TEST.3.1.8", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Fuzzing", + "props": [ + { + "name": "alt-identifier", + "value": "5bd70855-3756-4f70-b5d5-98e5211cd1ed" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Error Handling" + } + ], + "parts": [ + { + "id": "TEST.3.1.8_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Freigabeplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Stabilität gegen Fehlerzustände oder Abstürze bei der Eingabe großer Mengen an Zufallsdaten" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "testen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Änderungen und Tests KANN die Stabilität gegen Fehlerzustände oder Abstürze bei der Eingabe großer Mengen an Zufallsdaten testen." + }, + { + "id": "TEST.3.1.8_gdn", + "name": "guidance", + "prose": "Fuzzing ist eine automatisierte Softwaretestmethode, mit der unerwartete Schwachstellen und Fehler in Anwendungen durch Eingabe zufälliger, unerwarteter oder ungültiger Daten aufgedeckt werden können. Der Hauptzweck besteht darin, Grenzbedingungen zu prüfen und Programmabstürze, Speicherlecks oder sicherheitskritische Fehler wie Buffer Overflows zu identifizieren, bevor Angreifer diese ausnutzen können. Kann durch spezialisierte Tools oder kontinuierliches Fuzzing in der CI/CD-Pipeline umgesetzt werden. Für einen effektiven Einsatz empfiehlt es sich, mit strukturiertem Fuzzing zu beginnen, das auf bekannten Protokollspezifikationen oder Datenformaten basiert, Fuzzing-Tests in die frühen Phasen des Entwicklungszyklus zu integrieren, alle gefundenen Fehler systematisch zu dokumentieren und zu beheben, sowie regelmäßig neue Testfälle auf Basis entdeckter Schwachstellen zu entwickeln, um die Testabdeckung kontinuierlich zu verbessern." + } + ] + }, + { + "id": "TEST.3.1.9", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Lasttest", + "props": [ + { + "name": "alt-identifier", + "value": "ae64d67c-c9fd-48cd-837e-f71ebc850e29" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "parts": [ + { + "id": "TEST.3.1.9_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Freigabeplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Belastbarkeit bei hoher Auslastung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "testen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Änderungen und Tests KANN die Belastbarkeit bei hoher Auslastung testen." + }, + { + "id": "TEST.3.1.9_gdn", + "name": "guidance", + "prose": "Ziel ist es, die Dimensionierung der Ressourcen zu verifizieren und Fehler zu entdecken, die nur bei höherer Last auftreten. Hierzu können z.B. eine hohe Zahl gleichzeitiger Verbindungen, große Datenmengen oder eine hohe Zahl paralleler Interaktionen genutzt werden. Die Höhe der Auslastung kann sich dabei z.B. nach der maximalen Anzahl erwarteter gleichzeitiger Nutzungen richten." + } + ] + }, + { + "id": "TEST.3.1.10", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Penetrationstest bei Änderungen", + "props": [ + { + "name": "alt-identifier", + "value": "d994f7fa-1271-4563-9fc5-e3189fb362b7" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "links": [ + { + "href": "#DET.5.4", + "rel": "related" + }, + { + "href": "#DET.5.2", + "rel": "related" + } + ], + "parts": [ + { + "id": "TEST.3.1.10_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Freigabeplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "bekannte Schwachstellen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "bei kritischen Änderungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "testen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Änderungen und Tests KANN bekannte Schwachstellen bei kritischen Änderungen testen." + }, + { + "id": "TEST.3.1.10_gdn", + "name": "guidance", + "prose": "Bei einem Penetrationstest führen qualifizierte Sicherheitsexperten kontrollierte Angriffe auf Systeme, Anwendungen oder Netzwerke durch. Der primäre Zweck besteht darin, die tatsächliche Angriffsfläche aus der Perspektive eines potenziellen Angreifers zu bewerten, reale Ausnutzungsmöglichkeiten zu demonstrieren und die Wirksamkeit implementierter Sicherheitsmaßnahmen unter realistischen Bedingungen zu verifizieren. Praktische Umsetzungsbeispiele umfassen Black-Box-Tests ohne Vorkenntnisse des Systems, Grey-Box-Tests mit begrenztem Zugang und Wissen sowie White-Box-Tests mit vollständigem Quellcode-Zugriff, wobei Tools zur Automatisierung und Strukturierung der Tests eingesetzt werden können. Für ein effektives Pentesting empfiehlt es sich, den Testumfang klar zu definieren und zu dokumentieren, realistische Angriffsziele und Erfolgsmetriken festzulegen, ausreichend Zeit für die Behebung identifizierter Schwachstellen im Release-Plan einzuplanen, ein erfahrenes, unabhängiges Testteam einzusetzen, das nicht an der Entwicklung beteiligt war, sowie Re-Tests nach der Behebung von Schwachstellen durchzuführen, um sicherzustellen, dass alle identifizierten Risiken vor dem Produktivgang angemessen adressiert wurden." + } + ] + } + ] + }, + { + "id": "TEST.3.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Testabdeckung", + "params": [ + { + "id": "test.3.2-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "15a34e7f-067f-4f27-92a8-4d32cce4dee6" + } + ], + "label": "regelmäßig" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "15a34e7f-067f-4f27-92a8-4d32cce4dee6" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "TEST.3.2_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Übungs- und Prüfplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Testabdeckung" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{regelmäßig}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überprüfen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Änderungen und Tests SOLLTE die Testabdeckung {{ insert: param, test.3.2-prm1 }} überprüfen." + }, + { + "id": "TEST.3.2_gdn", + "name": "guidance", + "prose": "Ein ungenügendes Testverfahren könnte beispielsweise dazu führen, dass Schwachstellen in kritischen Anwendungen unentdeckt bleiben, was wiederum zu Datenverlust, unbefugtem Zugriff oder Systemausfällen führen könnte. Ein Beispiel hierfür ist der Fall einer industriellen Steuerungsanlage, bei der eine nicht ausreichend getestete Firmware-Aktualisierung zu einem Sicherheitsversagen und anschließendem Produktionsausfall führt. Der Begriff \"Testabdeckung\" (engl. \"test coverage\") bezeichnet hierbei den Umfang, in dem Komponenten, Funktionen und Schnittstellen eines Systems durch strukturierte Tests überprüft werden. Zur Umsetzung kann eine Institution verschiedene Maßnahmen implementieren: Für Software kann ein Code-Coverage-Monitoring etabliert werden, während für Hardware systematische Testmatrizen entwickelt werden können, die alle relevanten Betriebsparameter und Umgebungsbedingungen abdecken. Test-Dashboards können sowohl Software- als auch Hardware-Metriken visualisieren und in Entwicklungs- bzw. Implementierungsprozesse integriert werden. Für Hardware können FMEA-Analysen (Failure Mode and Effects Analysis) die kritischen zu testenden Komponenten identifizieren, während Software durch automatisierte CI/CD-Tests abgesichert werden kann. Bei der Implementierung empfiehlt es sich, einen risikobasierten Ansatz zu verfolgen, bei dem zuerst sicherheitskritische Komponenten umfassend getestet werden. Zudem kann eine systematische Dokumentation aller Testfälle und -ergebnisse, sowohl für Hardware- als auch für Software-Komponenten, die Nachvollziehbarkeit und kontinuierliche Verbesserung der Testabdeckung unterstützen. Zudem kann eine Kombination aus verschiedenen Testebenen (z.B. Stichproben, automatisierte und manuelle Verfahren, Unit-, Integrations- und Systemtests) eine umfassendere Abdeckung gewährleisten." + } + ] + } + ] + }, + { + "id": "TEST.4", + "title": "Freigabe", + "props": [ + { + "name": "label", + "value": "4" + }, + { + "name": "alt-identifier", + "value": "3c5acebf-32b1-42dc-a9ca-06c45aa320fb" + } + ], + "controls": [ + { + "id": "TEST.4.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Autorisierung von Änderungen", + "props": [ + { + "name": "alt-identifier", + "value": "1aa8319f-93fb-4236-991a-d799ab69e0c2" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "links": [ + { + "href": "#DET.5.1", + "rel": "related" + }, + { + "href": "#BES.5.9.1", + "rel": "related" + } + ], + "parts": [ + { + "id": "TEST.4.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "kritische Änderungen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "anhand von Kriterien einschließlich der Sicherheitsanforderungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "autorisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Änderungen und Tests SOLLTE kritische Änderungen anhand von Kriterien einschließlich der Sicherheitsanforderungen autorisieren." + }, + { + "id": "TEST.4.1_gdn", + "name": "guidance", + "prose": "Änderungen gelten als kritisch, wenn sie breite Auswirkungen auf Geschäftsprozesse haben, beispielsweise die Aktivierung der Zwei-Faktor-Authentifizierung am zentralen Verzeichnisdienst. Die Kritikalität ergibt sich zudem aus Art und Umfang der Änderung, etwa bei umfangreichen Migrationen oder sicherheitsrelevanten Fehlerbehebungen. Kritische Änderungen betreffen häufig die Bereitstellung für eine große Zahl interner oder externer Nutzender oder Eingriffe in hochverfügbare Systeme. Zu den maßgeblichen Kriterien für die Freigabe zählen das fehlerfreie Durchlaufen definierter Tests, eine ausreichende Nutzerakzeptanz in einem Beta-Test und das erfolgreiche Bestehen von Penetrationstests. Zweckmäßig ist eine mehrstufige Autorisierung, in der Änderungen anhand der prognostizierten Auswirkungen den Kategorien niedrig, mittel oder hoch zugeordnet und mit abgestuften Genehmigungsanforderungen verknüpft werden. Während bei geringfügigen Änderungen an unkritischen Systemen eine konzentrierte Prüfung grundlegender Sicherheitsanforderungen wie Authentifizierung, Verschlüsselung und Härtung ausreichen kann, erfordern umfangreiche Vorhaben mit hohem Risikoprofil in der Regel automatisierte Prüfmechanismen, ergänzt durch Checklisten für manuelle Tätigkeiten, um die Auswirkungen verlässlich beherrschbar zu halten." + } + ], + "controls": [ + { + "id": "TEST.4.1.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Unabhängigkeit der Autorisierung", + "props": [ + { + "name": "alt-identifier", + "value": "a0cd7536-0e8f-4658-99d4-c04f93dad878" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + } + ], + "parts": [ + { + "id": "TEST.4.1.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "kritische Änderungen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "auch durch eine von der Implementierung unabhängige Person" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "autorisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Änderungen und Tests KANN kritische Änderungen auch durch eine von der Implementierung unabhängige Person autorisieren." + }, + { + "id": "TEST.4.1.1_gdn", + "name": "guidance", + "prose": "Eine Freigabe durch eine unabhängige Person ist die nachweisliche Bestätigung der Testergebnisse durch eine fachlich qualifizierte, aber nicht an der Entwicklung, Durchführung oder unmittelbaren Implementierung der getesteten Änderung beteiligte Person. Ziel ist es, Objektivität und Unvoreingenommenheit sicherzustellen und das Vier-Augen-Prinzip für kritische Änderungen zu wahren. Hierbei genügt es, wenn neben beteiligten Personen auch eine unabhängige Person die Änderung autorisiert hat, wie z.B. bei einem Change Advisory Board, an dem mehrere Personen beteiligt sind. Die geltenden Anforderungen sind alle für das Zielobjekt ausgewählten Sicherheitsanforderungen, z.B. Verifikation korrekter TLS-Konfiguration oder Fertigstellung einer Datensicherung mit korrektem Umfang zu geforderter Zeit gemäß Konzept. Empfehlenswert ist es den Prozess in einem Versionkontrollsystem abzubilden, sodass die Dokumentation der Änderungen und der Freigabe weitestgehend automatisiert stattfindet." + } + ], + "controls": [ + { + "id": "TEST.4.1.1.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Staging", + "props": [ + { + "name": "alt-identifier", + "value": "27cb8300-6019-432f-a688-82544667aca0" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + } + ], + "parts": [ + { + "id": "TEST.4.1.1.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die freizugebenden Änderungen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "in einer von der Produktumgebung getrennten Staging-Umgebung, deren Komponenten so weit wie möglich der Produktivumgebung entsprechen," + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "testen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Änderungen und Tests SOLLTE die freizugebenden Änderungen in einer von der Produktumgebung getrennten Staging-Umgebung, deren Komponenten so weit wie möglich der Produktivumgebung entsprechen, testen." + }, + { + "id": "TEST.4.1.1.1_gdn", + "name": "guidance", + "prose": "Eine Staging-Umgebung ist von der Produktivumgebung getrennt, wenn sie keine IT-Systeme, Anwendungen oder Datenquellen der Produktivumgebung verwendet. Sie entspricht so weit wie möglich der Produktivumgebung, damit zwischen Freigabe und Produktivbetrieb möglichst wenige Abweichungen vorkommen, z.B. hinsichtlich der Schwachstellen eingesetzter Softwareversionen oder der Verfügbarkeit von Ressourcen in verschiedenen Rechenzentren." + } + ] + } + ] + }, + { + "id": "TEST.4.1.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Dokumentation der Freigabe", + "props": [ + { + "name": "alt-identifier", + "value": "97bc7db7-ea9d-47ea-9402-163af7470f4b" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + } + ], + "links": [ + { + "href": "#ASST.5.7", + "rel": "related" + } + ], + "parts": [ + { + "id": "TEST.4.1.2_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Freigabe" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "einschließlich Zeitpunkt, Vorhaben, Freigabekriterien und freigebender Personen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Änderungen und Tests SOLLTE die Freigabe einschließlich Zeitpunkt, Vorhaben, Freigabekriterien und freigebender Personen dokumentieren." + }, + { + "id": "TEST.4.1.2_gdn", + "name": "guidance", + "prose": "Je nach Organisationstruktur kann es sinnvoll sein, weitere Angaben aufzuführen, z.B. in der Freigabe durchgeführte Prüfschritte oder weitere beteiligte Personen. Allerdings kann sich die Freigabe auch auf eine Dokumentation der zuvor durchgeführten Tests stützen. In jedem Fall handelt es sich nur dann um eine Freigabe, wenn die entscheidenden Personen oder Rollen eine eigenständige Entscheidung getroffen haben, die auf einer eigenen Untersuchung des Änderungsvorhabens basiert." + } + ] + } + ] + }, + { + "id": "TEST.4.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Signatur", + "props": [ + { + "name": "alt-identifier", + "value": "9a713453-4359-4383-a94d-5cfeeae045b8" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "parts": [ + { + "id": "TEST.4.2_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine Signatur der Freigabeerklärung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "ausführen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Änderungen und Tests KANN eine Signatur der Freigabeerklärung ausführen." + }, + { + "id": "TEST.4.2_gdn", + "name": "guidance", + "prose": "Die Signatur der Freigabeerklärung ist hier als eine digitale oder handschriftliche Unterschrift zu verstehen, die dokumentiert, dass eine geplante Änderung oder ein Test geprüft, bewertet und zur Umsetzung freigegeben wurde. Die Signatur kann damit sowohl eine elektronische Signatur nach gängigen Standards (z. B. qualifizierte elektronische Signatur im Ticketsystem) als auch eine händische Unterschrift sein. Sie stellt nicht nur eine rechtliche, sondern vor allem eine technische und organisatorische Nachvollziehbarkeit sicher, indem eindeutig erkennbar wird, wer eine Entscheidung zur Durchführung von Änderungen verantwortet hat. Die Freigabe durch eine Signatur kann dazu beitragen, dass unbeabsichtigte oder fehlerhafte Änderungen nicht unkontrolliert in den Betrieb gelangen. Ein fehlender Nachweis könnte im Vorfallfall zu Streitigkeiten über Verantwortlichkeiten führen oder die forensische Nachvollziehbarkeit erschweren. Ebenso könnte ohne dokumentierte Freigabe eine ungetestete Änderung produktive Systeme beeinträchtigen und Ausfälle oder Datenverlust verursachen. Durch eine dokumentierte Signatur kann hingegen nachvollziehbar gemacht werden, dass fachliche, technische und sicherheitsrelevante Prüfungen stattgefunden haben und die Entscheidung zur Umsetzung bewusst und überprüfbar getroffen wurde." + } + ] + }, + { + "id": "TEST.4.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Rückfallösung", + "props": [ + { + "name": "alt-identifier", + "value": "aacff36a-50db-4403-9a46-34fa044a8a4d" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "TEST.4.3_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine Rückfallösung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Änderungen und Tests SOLLTE eine Rückfallösung verankern." + }, + { + "id": "TEST.4.3_gdn", + "name": "guidance", + "prose": "Kritisch sind administrative Änderungen an geschäftskritischen Systemen, da ihr Ausfall gravierende Folgen haben könnte. Die Kritikalität ergibt sich außerdem aus Art und Umfang der Änderungen, z.B. umfangreiche Migration oder Bugfix. Maßnahmen können z.B. die Wiederherstellung aus einer vorher erstellten aktuellen Datensicherung, einer Versionsverwaltung oder Blue-Green-Deployment sein." + } + ] + }, + { + "id": "TEST.4.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Geregelte Notfalländerungen", + "props": [ + { + "name": "alt-identifier", + "value": "fe2a551e-4660-4796-92bf-2304adb70a61" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "links": [ + { + "href": "#NOT.1.1", + "rel": "related" + } + ], + "parts": [ + { + "id": "TEST.4.4_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Regelungen für Notfalländerungen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "einschließlich Vorgehensweise, Zuständigkeiten, erforderlicher Ressourcen und minimaler Prüfschritte" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Änderungen und Tests SOLLTE Regelungen für Notfalländerungen einschließlich Vorgehensweise, Zuständigkeiten, erforderlicher Ressourcen und minimaler Prüfschritte verankern." + }, + { + "id": "TEST.4.4_gdn", + "name": "guidance", + "prose": "Ein Notfall-Deployment-Prozess ermöglicht eine schnelle Reaktion auf akute Bedrohungen. Als Notfall-Ereignisse kommen z.B. Zero-Day-Exploits, kritische Sicherheitslücken mit aktiver Ausnutzung, schwerwiegende Produktionsfehler mit Geschäftsauswirkungen oder koordinierte Cyberangriffe in Frage. Zu einer strukturierten Vorgehensweise können z.B. gehören: (1) Ein Eskalationsverfahren mit definierten Kommunikationswegen, z.B. zum ISB und Administrierenden, welche über Rufbereitschaftspläne und automatisierte Alarmierungssysteme erreichbar sind und Zugriffsrechte auf isolierte Notfall-Deployment-Umgebungen, vorkonfigurierte Rollback-Mechanismen sowie dedizierte Notfall-Builds mit minimalen Abhängigkeiten besitzen. (2) Minimale Prüfschritte können z.B. eine beschleunigte Sicherheitsvalidierung kritischer Codeänderungen, automatisierte Sicherheitsscans zur Identifikation offensichtlicher Schwachstellen, die Verifizierung der Code-Integrität durch mindestens zwei autorisierte Personen nach dem Vier-Augen-Prinzip sowie ein dokumentierter Genehmigungsprozess mit expliziter Abzeichnung durch den CISO oder einen designierten Stellvertreter sein. (3) Eine Nachbereitung mit Post-Incident-Analyse zur Dokumentation der getroffenen Maßnahmen, identifizierten Verbesserungspotenzialen und notwendigen Nacharbeiten." + } + ] + } + ] + }, + { + "id": "TEST.5", + "title": "Bereitstellung", + "props": [ + { + "name": "label", + "value": "5" + }, + { + "name": "alt-identifier", + "value": "5dbf36bf-6942-4d96-8337-0b9f93dff9bf" + } + ], + "controls": [ + { + "id": "TEST.5.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Information betroffener Kreise", + "props": [ + { + "name": "alt-identifier", + "value": "1532f91b-d1a5-405f-ada6-11e4b53ae436" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "links": [ + { + "href": "#ASST.5.5", + "rel": "related" + } + ], + "parts": [ + { + "id": "TEST.5.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "von der Änderung betroffene Kreise" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "informieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Änderungen und Tests SOLLTE von der Änderung betroffene Kreise informieren." + }, + { + "id": "TEST.5.1_gdn", + "name": "guidance", + "prose": "Betroffene Kreise können je nach Vorhaben z.B. interne oder externe Nutzende, IT-Betrieb, das Monitoring-Team, die Öffentlichkeitsarbeit oder ISB sein. Erforderliche Informationen können z.B. zu erwartende Ausfallzeiten oder Beginn und Ende des Wartungsfensters, die Vorgehensweise zum Bezug von Sicherheitsupdates oder anzupassende Sicherheitseinstellungen sein, die Nutzende selbst vornehmen können." + } + ] + }, + { + "id": "TEST.5.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Verschlüsselte Bereitstellung", + "props": [ + { + "name": "alt-identifier", + "value": "1a332c02-bbc6-49f5-a123-ad41532409ac" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Cryptography" + } + ], + "parts": [ + { + "id": "TEST.5.2_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Bereitstellung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verschlüsseln" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Änderungen und Tests SOLLTE die Bereitstellung verschlüsseln." + }, + { + "id": "TEST.5.2_gdn", + "name": "guidance", + "prose": "Das Konzept der Bereitstellung (engl. Deployment oder Provisioning) bezieht sich hier auf den Vorgang des Übertragens, Installierens oder Aktivierens von Software-Artefakten, Konfigurationen, Skripten oder anderen digitalen Gütern von einer gesicherten Umgebung (z.B. Test- oder Staging-Umgebung) in die Ziel- oder Produktionsumgebung. Die Verschlüsselung dieser Bereitstellung meint dabei die kryptografische Sicherung des Datenstroms oder der übertragenen Daten während des Transports, sodass diese für unbefugte Dritte unlesbar sind. Diese Vorschrift dient primär dem Schutz vor der Offenlegung sensibler Daten oder der Manipulation der ausgelieferten Artefakte: Ein Angreifer, der den Übertragungsweg abhört, könnte ohne Verschlüsselung leicht auf vertrauliche Informationen zugreifen, etwa proprietären Quellcode oder sensible Konfigurationsparameter (wie Passwörter oder API-Schlüssel), was zur Geheimhaltung (Confidentiality) in der Institution im Widerspruch stünde. Außerdem könnte ein Man-in-the-Middle-Angriff die übertragenen Daten manipulieren und so bösartigen Code in die Produktionsumgebung einschleusen, bevor die Integrity-Checks greifen, was die Integrität der bereitgestellten Lösungen gefährden könnte. Technisch kann die Institution dies gewährleisten, indem alle Deployment-Pipelines ausschließlich gesicherte Kommunikationsprotokolle nutzen. Zusätzlich ist es sinnvoll die Bereitstellungs-Artefakte digital zu signieren und diese Signatur erst nach erfolgreicher End-zu-End-Integritätsprüfung (z.B. durch Prüfsummen wie SHA-256) auf dem Zielsystem zur Installation freigeben, was einen Manipulationsversuch im Transit erschwert." + } + ] + }, + { + "id": "TEST.5.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Schrittweiser Rollout", + "props": [ + { + "name": "alt-identifier", + "value": "e692fdfc-02b4-48f9-8645-11ea5662b695" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "parts": [ + { + "id": "TEST.5.3_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Inbetriebnahme" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "stufenweise" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "ausführen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Änderungen und Tests KANN die Inbetriebnahme stufenweise ausführen." + }, + { + "id": "TEST.5.3_gdn", + "name": "guidance", + "prose": "Inbetriebnahme (engl. deployment oder rollout) meint hier die technische und organisatorische Überführung einer Änderung oder Neuerung – etwa an IT-Systemen, Anwendungen oder Konfigurationen – vom Test- in den Produktivbetrieb. Eine stufenweise Inbetriebnahme (auch phased deployment, gradual rollout oder staged release) meint dabei das gezielte Ausrollen von Änderungen in mehreren kontrollierten Schritten, etwa nach Rollen, geografischen Standorten oder Systemkomponenten gruppiert, anstatt in einem einzigen vollständigen Übergang. Diese Methode kann gezielt dazu genutzt werden, Probleme frühzeitig zu erkennen und zu verhindern, dass diese sich flächendeckend auf die gesamte Infrastruktur auswirken. Ziel ist insbesondere, mögliche Risiken aus unzureichend getesteten Änderungen zu reduzieren – etwa wenn fehlerhafte Updates zu Systemausfällen, Datenverlusten oder Funktionseinschränkungen führen könnten. Auch unbeabsichtigte Interaktionen mit bestehenden Komponenten, die im Testsystem nicht abgebildet waren, könnten auftreten. Ein simples Rolling-Release-Modell, bei dem kleinschrittige Änderungen allen betroffenen Geräte gleichzeitig bereitgestellt werden, genügt NICHT um die Anforderung zu erfüllen. Ein schrittweiser Rollout ist in verschiedenen Varianten möglich: (1) der Einsatz von sogenannten Canary Releases, bei denen Änderungen zuerst auf ein kleines, repräsentatives Nutzersegment ausgerollt werden, (2) der automatisierte Rollout nach dem One-Some-All-Prinzip, (3) das gezielte Aktivieren neuer Funktionen über Feature Toggles, die zentrale Steuerung ermöglichen, oder (4) das parallele Führen alter und neuer Systemversionen in einer Blue-Green Deployment-Struktur." + } + ] + }, + { + "id": "TEST.5.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Persistenz", + "props": [ + { + "name": "alt-identifier", + "value": "09606d16-376b-44be-b12e-35829f10d4e4" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "TEST.5.4_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Persistenz" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "nach wesentlichen Änderungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "testen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Änderungen und Tests SOLLTE die Persistenz nach wesentlichen Änderungen testen." + }, + { + "id": "TEST.5.4_gdn", + "name": "guidance", + "prose": "Persistenz bedeutet hier, dass eine wesentliche Änderung nach ihrer Einführung dauerhaft wirksam bleibt, also auch nach einem Neustart, einem System-Update oder einem Rückspielen von Konfigurations-Backups nicht unbeabsichtigt verloren geht. Dies könnte beispielsweise dazu führen, dass eine sicherheitsrelevante Konfiguration nach einem Reboot verschwindet oder eine Migration zu einem neuen Anbieter scheitert, weil Daten oder Regeln nicht portabel waren. Eine Institution kann die Anforderung praktisch umsetzen, indem Änderungen nach Abschluss nicht nur funktional, sondern auch über System- und Lebenszyklusereignisse hinweg überprüft werden. Dazu kann es hilfreich sein, Änderungen gezielt mit simulierten Neustarts, Failover-Tests oder dem erneuten Einspielen von Standard-Backups zu validieren. Um den laufenden Betrieb hierdurch nicht zu beeinträchtigen können Systeme oder Anwendungsinstanzen nacheinander oder zu unkritischen Zeiten neu gestartet werden." + } + ] + }, + { + "id": "TEST.5.5", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Rückblick", + "params": [ + { + "id": "test.5.5-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "3e647e0e-ec8e-4ca5-8474-c511b25e53af" + } + ], + "label": "regelmäßig" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "3e647e0e-ec8e-4ca5-8474-c511b25e53af" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + } + ], + "links": [ + { + "href": "#REA.3.1", + "rel": "related" + } + ], + "parts": [ + { + "id": "TEST.5.5_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Übungs- und Prüfplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Erreichung der Bereitstellungsziele" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{regelmäßig}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überprüfen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Änderungen und Tests SOLLTE die Erreichung der Bereitstellungsziele {{ insert: param, test.5.5-prm1 }} überprüfen." + }, + { + "id": "TEST.5.5_gdn", + "name": "guidance", + "prose": "Ein effektiver Änderungsmanagementprozess profitiert von systematischen Überprüfungen nach der Implementierung. Dabei wird bewertet, ob die definierten Bereitstellungsziele tatsächlich erreicht wurden und ob Änderungen unbeabsichtigte Auswirkungen auf Sicherheit, Stabilität oder Verfügbarkeit hatten. Die gewonnenen Erkenntnisse können genutzt werden, um zukünftige Änderungen gezielter zu planen und Risiken zu reduzieren." + } + ] + } + ] + } + ] + }, + { + "id": "GEB", + "title": "Gebäudemanagement", + "props": [ + { + "name": "label", + "value": "GEB", + "remarks": "Das Gebäudemanagement sorgt für die Implementierung von physischen Sicherheitsmaßnahmen in und um das Gebäude. Dazu gehören insbesondere Zutrittskontrollen, Überwachungsmechanismen und die Sicherstellung geeigneter Umgebungsbedingungen, um sensible IT-Systeme und Informationen vor physischen Bedrohungen zu schützen. Diese Praktik fokussiert sich auf den Schutz der physischen Umgebung (z.B. Gebäude, Räume), während andere Praktiken wie IT-Betrieb oder Berechtigungen sich mit systemseitigen und personellen Sicherheitsmaßnahmen beschäftigen. Das Gebäudemanagement stellt sicher, dass die physische Infrastruktur so gestaltet ist, dass sie IT-Systeme und sensible Daten bestmöglich schützt." + }, + { + "name": "alt-identifier", + "value": "17b37cff-5445-4487-acec-ef18d91cfec2" + } + ], + "groups": [ + { + "id": "GEB.1", + "title": "Grundlagen", + "props": [ + { + "name": "label", + "value": "1" + }, + { + "name": "alt-identifier", + "value": "94bfadab-43f6-48d7-ac5e-49b8fbcf2794" + } + ], + "controls": [ + { + "id": "GEB.1.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Verfahren und Regelungen", + "props": [ + { + "name": "alt-identifier", + "value": "4b6dfe84-071c-4b8a-94d9-83faa99b8ee8" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "GEB.1.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Prozess Gebäudemanagement" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Verfahren und Regelungen zum physischen Schutz von Standorten, an denen schützenswerte Informationen verarbeitet oder gespeichert werden," + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Gebäudemanagement MUSS Verfahren und Regelungen zum physischen Schutz von Standorten, an denen schützenswerte Informationen verarbeitet oder gespeichert werden, verankern." + }, + { + "id": "GEB.1.1_gdn", + "name": "guidance", + "prose": "Ein Verfahren zum Gebäudemanagement stellt sicher, dass die zum Betrieb von Geschäftsprozessen erforderliche Infrastruktur vorhanden ist und schützt Zielobjekte dort vor dem Zugriff Unbefugter und vor Elementarschäden wie Feuer, Wind und Wetter. Die bei der Festlegung des Verfahrens im Einzelnen zu berücksichtigenden Inhalte ergeben sich aus den Anforderungen dieser Praktik." + } + ], + "controls": [ + { + "id": "GEB.1.1.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Dokumentation", + "props": [ + { + "name": "alt-identifier", + "value": "347d743d-a919-4397-9951-703303e6c613" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "GEB.1.1.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Verfahren und Regelungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Gebäudemanagement MUSS die Verfahren und Regelungen dokumentieren." + }, + { + "id": "GEB.1.1.1_gdn", + "name": "guidance", + "prose": "Ohne eine Dokumentation könnte die Einhaltung der Verfahren und Regelungen von der Tagesform oder dem individuellen Wissen einzelner Mitarbeiter abhängen, was zu inkonsistenten Entscheidungen und Fehlern führen könnte; insbesondere beim Ausscheiden eines langjährigen Administrators könnte wertvolles prozessuales Wissen verloren gehen. Eine klare Dokumentation sichert die Verbindlichkeit und Wiederholbarkeit und dient als unverzichtbare Grundlage für die Einarbeitung neuer Kollegen, für die Durchführung von Audits und zur einheitlichen Anwendung der Regeln in der gesamten Institution. Die Dokumentation kann in einem eigenständigen Dokument als Richtlinie erfolgen, aber auch als Abschnitt in einem bereits bestehenden Dokument oder über die digital strukturiere Erfassung von Maßnahmen zur Umsetzung der Anforderungen, etwa über eine Software zum Management der Informationssicherheit. Sinnvoll ist es Ort und Struktur der Dokumentation an der jeweiligen Zielgruppe, d.h. den für das Management und die Umsetzung verantwortlichen Personen oder Rollen, auszurichten." + } + ] + }, + { + "id": "GEB.1.1.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Zuweisung der Aufgaben", + "params": [ + { + "id": "geb.1.1.2-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "3a95d0e2-6727-4b21-bf13-24d08781e26b" + } + ], + "label": "zuständigen Personen oder Rollen" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "3a95d0e2-6727-4b21-bf13-24d08781e26b" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "GEB.1.1.2_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Geschäftsverteilungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die mit den Verfahren und Regelungen verbundenen Aufgaben" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{zuständigen Personen oder Rollen}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "zuweisen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Gebäudemanagement MUSS die mit den Verfahren und Regelungen verbundenen Aufgaben {{ insert: param, geb.1.1.2-prm1 }} zuweisen." + }, + { + "id": "GEB.1.1.2_gdn", + "name": "guidance", + "prose": "Die Zuweisung von Aufgaben bezeichnet die eindeutige und verbindliche Übertragung von konkreten Tätigkeiten und Verantwortlichkeiten des Änderungsprozesses, wie etwa die Risikobewertung, die technische Umsetzung oder die finale Freigabe, an definierte Stellen in der Institution. Der Sinn dieser Vorschrift ist es, die Verantwortlichkeit (\"Accountability\") für jeden einzelnen Schritt im Prozess klarzustellen. Ohne eine solche Zuweisung könnten kritische Prüfungen unterbleiben, weil sich niemand explizit zuständig fühlt, was wiederum die Wahrscheinlichkeit fehlgeschlagener Änderungen erhöht. Eine klare Regelung kann sicherstellen, dass keine Aufgaben übersehen werden und jede Tätigkeit von einer dafür qualifizierten und befugten Stelle ausgeführt wird, was die Prozesssicherheit signifikant erhöht. Eine bewährte Methode zur Umsetzung ist die Erstellung einer RACI-Matrix (Responsible, Accountable, Consulted, Informed), die tabellarisch für jeden Prozessschritt darstellt, wer für die Durchführung verantwortlich ist, wer die Gesamtverantwortung trägt, wer zu konsultieren und wer zu informieren ist. Diese Zuständigkeiten können auch direkt in einem Workflow- oder Ticketsystem abgebildet werden, sodass Aufgaben, wie beispielsweise Genehmigungsschritte, automatisch an die richtige Gruppe oder Person weitergeleitet werden. Sinnvoll ist es, die Zuweisung anhand von Rollen (z. B. \"Anwendungsverantwortlicher\", \"Netzwerkadministrator\", \"Change Manager\") vorzunehmen, statt an konkrete Personen. Dieser Ansatz stellt sicher, dass die Prozesse auch bei Personalwechseln stabil weiterlaufen, da die Zuständigkeit an die Funktion und nicht an das Individuum gebunden ist." + } + ] + }, + { + "id": "GEB.1.1.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Bekanntgabe", + "props": [ + { + "name": "alt-identifier", + "value": "474e316d-e4e3-4ff2-840f-c4a271f7be88" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "GEB.1.1.3_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die zuständigen Personen oder Rollen über die Verfahren und Regelungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "informieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Gebäudemanagement MUSS die zuständigen Personen oder Rollen über die Verfahren und Regelungen informieren." + }, + { + "id": "GEB.1.1.3_gdn", + "name": "guidance", + "prose": "Wenn die Zuständigen die etablierten Verfahren nicht kennen, besteht die Gefahr, dass diese – sei es aus Unwissenheit oder Bequemlichkeit – umgangen werden, was die Schutzwirkung des gesamten Managementsystems untergräbt. So könnte ein neuer Systemadministrator eine weitreichende Konfigurationsänderung vornehmen, ohne den vorgeschriebenen Genehmigungsprozess zu durchlaufen, was zu einem unbemerkten Sicherheitsrisiko führen könnte. Eine gezielte Information kann hingegen die Akzeptanz der Regelungen fördern und sicherstellen, dass alle Beteiligten ihre Rolle im Prozess verstehen und die Abläufe korrekt anwenden. Zur Umsetzung ist es sinnvoll die Dokumentation im Rahmen eines Onboarding-Prozesses bekanntzugeben und bei allen Änderungen eine automtatische Benachrichtigung aller zuständigen Personen oder Rollen anzustoßen." + } + ] + } + ] + }, + { + "id": "GEB.1.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Regelmäßige Überprüfung", + "params": [ + { + "id": "geb.1.2-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "01900ff7-5532-4e7d-a8d3-999e46bf3d29" + } + ], + "label": "regelmäßig" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "01900ff7-5532-4e7d-a8d3-999e46bf3d29" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "GEB.1.2_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Übungs- und Prüfplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Verfahren und Regelungen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{regelmäßig}} und anlassbezogen auf Aktualität" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überprüfen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Gebäudemanagement MUSS die Verfahren und Regelungen {{ insert: param, geb.1.2-prm1 }} und anlassbezogen auf Aktualität überprüfen." + }, + { + "id": "GEB.1.2_gdn", + "name": "guidance", + "prose": "Eine geplante der etablierten Verfahren und Regelungen dient dazu festzustellen, ob diese noch wirksam, effizient und an die aktuellen Gegebenheiten angepasst sind. Eine anlassbezogene Überprüfung wird durch spezifische Ereignisse ausgelöst, wie etwa einen schwerwiegenden Sicherheitsvorfall, eine strategische Neuausrichtung der IT oder neue gesetzliche Anforderungen. Der Zweck dieser Anforderung ist es, die kontinuierliche Verbesserung und Anpassungsfähigkeit des Prozesses sicherzustellen, da veraltete Regelungen neuen technologischen Entwicklungen oder Bedrohungen nicht mehr gerecht werden könnten; ein vor Jahren für monolithische Anwendungen konzipierter Prozess ist beispielsweise für agile Entwicklungsmethoden oder Microservice-Architekturen ungeeignet. Die regelmäßige Überprüfung kann die Effektivität des Sicherheitsmanagements langfristig aufrechterhalten und die Resilienz der Institution stärken." + } + ] + }, + { + "id": "GEB.1.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Autorisierung von Standorten", + "props": [ + { + "name": "alt-identifier", + "value": "b25c2cfd-431c-4996-9041-47ae0e516432" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + } + ], + "links": [ + { + "href": "#ASST.3.10", + "rel": "related" + } + ], + "parts": [ + { + "id": "GEB.1.3_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Standorte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Prozess Gebäudemanagement" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Standorte für die Stationierung von Assets" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "autorisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Gebäudemanagement für Standorte SOLLTE Standorte für die Stationierung von Assets autorisieren." + }, + { + "id": "GEB.1.3_gdn", + "name": "guidance", + "prose": "Die gezielte Autorisierung von Standorten für die Stationierung von Assets kann dazu beitragen, dass Informationen und Systeme nur an physischen Orten verarbeitet oder aufbewahrt werden, die zuvor auf ihre Sicherheitsanforderungen hin geprüft wurden. So kann beispielsweise verhindert werden, dass sensible Server in unkontrollierten Räumen ohne Zutrittskontrolle oder redundante Stromversorgung betrieben werden – ein Fehlen dieser Maßnahmen könnte im Ernstfall zu Datenverlust bei einem Kurzschluss oder unbefugtem Zugriff durch Dritte führen. Ebenso kann die Prüfung und Freigabe durch eine zuständige Rolle dafür sorgen, dass neue Außenstellen erst dann in den Betrieb gehen, wenn etwa Brandmelde‑, Videoüberwachungs‑ oder Netzwerksicherheitsanforderungen erfüllt sind; andernfalls könnte eine unerkannte technische Schwachstelle in einem Zweigstellenrechner dazu führen, dass Schadcode sich ins gesamte Unternehmensnetz ausbreitet. Auch bei der Nutzung von Cloud‑ oder Colocation‑Rechenzentren kann eine formale Freigabe sicherstellen, dass vorab vertraglich vereinbarte Sicherheits- und Compliance‑Anforderungen – wie beispielsweise ISO‑27001‑Zertifizierung oder Verschlüsselung im Ruhezustand – tatsächlich gegeben sind, andernfalls könnte es zu Datenschutzverletzungen oder Regulierungsstrafen kommen. Zur praktischen Umsetzung kann ein Standort‑Freigabeprozess definiert werden, der folgende Elemente enthält: eine Checkliste für physische Sicherheitskriterien (Zutrittskontrolle, Umwelt‑ und Brandschutz), eine technische Abnahmematrix (Netzwerksegmentierung, Monitoring, Backup‑Anbindung) sowie die Benennung einer verantwortlichen Person oder Rolle, die das Go‑No‑Go‑Entscheidungsrecht hält. Bei Änderungen am Standort oder an den Assets kann diese Rolle regelmäßige Reviews anstoßen, wodurch nachträgliche Kontrollen möglich werden. Automatisierte Workflow‑Tools können dabei unterstützen, Prüf‑ und Genehmigungsschritte nachvollziehbar zu dokumentieren und Eskalationspfade abzubilden." + } + ], + "controls": [ + { + "id": "GEB.1.3.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Abnahme von Standorten", + "params": [ + { + "id": "geb.1.3.1-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "127de8f4-d265-4b66-83a1-a9d2c5113a17" + } + ], + "label": "Kriterien" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "127de8f4-d265-4b66-83a1-a9d2c5113a17" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "GEB.1.3.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Standorte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Prozess Gebäudemanagement" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Standorte" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "vor Autorisierung anhand von {{Kriterien}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "testen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Gebäudemanagement für Standorte SOLLTE Standorte vor Autorisierung anhand von {{ insert: param, geb.1.3.1-prm1 }} testen." + }, + { + "id": "GEB.1.3.1_gdn", + "name": "guidance", + "prose": "Eine Abnahme anhand von Sicherheitskriterien stellt sicher, dass Sicherheitsaspekte bereits in der Planungsphase vor der ersten Nutzung eines Standortes berücksichtigt werden. Die Kriterien ergeben sich aus den weiteren Anforderungen dieser Praktik, sowie aus Compliance-Verpflichtungen. Denken Sie hierbei an den Schutz vor Elementarschäden, den Zutrittsschutz, den voraussichtlichen Versorgungsbedarf mit Strom, Netzanbindung, eine strukturierte Verkabelung und Wasserleitungen, sowie die Gebäudeautomatisierung. Kann z.B. mit Building Information Modeling (BIM) umgesetzt werden. Wurde ein Standort bereits bezogen, so gilt die Anforderung als umgesetzt, wenn die Erfüllung der Kriterien nachträglich (z.B. durch eine Begehung) sichergestellt wurde." + } + ] + } + ] + }, + { + "id": "GEB.1.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Exponierte Bereiche", + "props": [ + { + "name": "alt-identifier", + "value": "d5806bcc-a072-4a2e-8fd1-2ff0d30e96d6" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "GEB.1.4_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Standorte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Gebäudedokumentation" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "schützenswerte Assets oder zugehörige Infrastrukturen nur außerhalb exponierter oder besonders gefährdeter Bereiche" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "platzieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Gebäudemanagement für Standorte SOLLTE schützenswerte Assets oder zugehörige Infrastrukturen nur außerhalb exponierter oder besonders gefährdeter Bereiche platzieren." + }, + { + "id": "GEB.1.4_gdn", + "name": "guidance", + "prose": "Wenn schützenswerte Räume wie Datenträgerarchive, Hostsysteme oder zentrale Infrastrukturen wie die Strom- und Netzversorgung in besonders exponierten Gebäudeteilen oder unter freiem Himmel lokalisiert werden, erhöht dies das Risiko für Ausfälle. Beispiele für gefährdete Bereiche sind ein überflutungsgefährdeter Keller, an der Gebäudekante direkt neben einer Bundesstraße oder an einer von Außen leicht einsehbaren Stelle. Welche Bereiche gefährdet sind kann oft von lokalen oder nationalen staatlichen Stellen bezogen werden. Wenn der gesamte Standort besonders exponiert oder gefährdet ist, kann dies nur durch die Nutzung anderer Standorte umgesetzt werden." + } + ] + }, + { + "id": "GEB.1.5", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Strukturpläne", + "props": [ + { + "name": "alt-identifier", + "value": "e51b3488-c9ce-4709-b2d1-c995eee3336a" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "GEB.1.5_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Standorte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Gebäudedokumentation" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Strukturpläne" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Gebäudemanagement für Standorte SOLLTE Strukturpläne dokumentieren." + }, + { + "id": "GEB.1.5_gdn", + "name": "guidance", + "prose": "Strukturpläne enthalten Grundrisse und Verlaufswege für physische Perimeter oder Versorgungseinrichtungen. Beispielsweise enthalten Gebäudepläne üblicherweise Zeichnungen der einzelnen Etagen und der Gebäudestrukturen darin. Diese Pläne sind hilfreich um Schwachstellen oder Störquellen aufzudecken und zielgerichtet zu behandeln. Dazu gehören Versorgungsleitungen, Netzanschlüsse, sowie Aus- und Zugänge für den regulären Betrieb und für Notfälle." + } + ] + } + ] + }, + { + "id": "GEB.2", + "title": "Physischer Perimeter", + "props": [ + { + "name": "label", + "value": "2" + }, + { + "name": "alt-identifier", + "value": "c2eb65e7-af71-4d00-b38c-35fad5a724fe" + } + ], + "controls": [ + { + "id": "GEB.2.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Installation von Perimetern", + "props": [ + { + "name": "alt-identifier", + "value": "b801be80-6655-485d-bba9-3f1ca8953755" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + } + ], + "parts": [ + { + "id": "GEB.2.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Standorte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Gebäudedokumentation" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Sicherheitsperimeter" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "installieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Gebäudemanagement für Standorte SOLLTE Sicherheitsperimeter installieren." + }, + { + "id": "GEB.2.1_gdn", + "name": "guidance", + "prose": "Die Installation physischer Sicherheitsperimeter dient dem grundlegenden Schutz von Informationsressourcen und kritischer Infrastruktur vor unbefugtem Zugriff und physischen Bedrohungen. Ein effektiver Sicherheitsperimeter kann als mehrschichtige Barriere fungieren, die sensible Bereiche vor verschiedenen Risiken wie Einbruch, Diebstahl oder Sabotage schützt. Ohne angemessene physische Sicherheitsmaßnahmen könnten unbefugte Personen z.B. Zugang zu Serverräumen erlangen und dort Datenträger entwenden, Schadcode installieren oder Hardwarekomponenten manipulieren. Auch Naturereignisse wie Überschwemmungen oder Brände könnten ohne geeignete Perimeter leichter zu Datenverlust oder Betriebsunterbrechungen führen. Bei der Implementierung physischer Sicherheitsperimeter kann eine Kombination verschiedener Sicherheitsebenen erwogen werden, beginnend mit äußeren Barrieren wie Zäunen, Schranken oder gesicherten Eingangsbereichen, die den Zugang zum Gelände regulieren. Im Gebäudeinneren können Zugangskontrollsysteme mit unterschiedlichen Authentifizierungsmethoden (Chipkarten, biometrische Verfahren, PIN-Codes) eingesetzt werden, um den Zutritt zu sensiblen Bereichen auf autorisierte Mitarbeiter zu beschränken. Die Effektivität dieser Maßnahmen kann durch ergänzende Systeme wie Videoüberwachung, Alarmanlagen oder Bewegungsmelder verstärkt werden, wobei ein ausgewogenes Verhältnis zwischen Sicherheitsanforderungen und Praktikabilität für den Arbeitsalltag zu finden ist. Bei der Planung kann eine Risikobewertung helfen, um festzulegen, welche Bereiche besonders schutzbedürftig sind und entsprechend abgesichert werden, etwa durch Sicherheitszonen mit gestaffelten Zugangsrechten oder spezielle Brandschutzbereiche für kritische IT-Infrastruktur." + } + ] + }, + { + "id": "GEB.2.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Dokumentation öffentlicher Bereiche", + "props": [ + { + "name": "alt-identifier", + "value": "1147b820-ea85-4137-aad4-d7a5462baaaa" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + } + ], + "parts": [ + { + "id": "GEB.2.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Gebäude" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Gebäudedokumentation" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Bereiche, die ohne Authentifizierung zugänglich sind," + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "mit Begründung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Gebäudemanagement für Gebäude SOLLTE Bereiche, die ohne Authentifizierung zugänglich sind, mit Begründung dokumentieren." + }, + { + "id": "GEB.2.2_gdn", + "name": "guidance", + "prose": "Gebäude sind als stabiler und klar ersichtlicher Sicherheitsperimeter besonders geeignet. Viele Institutionen benötigen für ihre Aufgaben jedoch Bereiche, die ohne Authentifizierung zugänglich sind, z.B. Empfangs- oder Lieferzonen, Bürgerbüros, Kundenräume. Hierdurch könnte es leicht zu versehentlichen oder zielgerichteten Schäden an Assets, unbefugten Zutritten oder dem Abfluss vertraulicher Daten kommen. Daher ist es sinnvoll, diese Bereiche zu dokumentieren und die Gründe für ihre Bereitstellung nachzuhalten, um sicherzustellen, dass der Sicherheitsperimeter auch im Gebäude korrekt verläuft und geschützt ist." + } + ] + }, + { + "id": "GEB.2.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Erkundung aus dem öffentlichen Raum", + "props": [ + { + "name": "alt-identifier", + "value": "11a3fb3c-b21e-4d11-b9d1-11ad23cea2b1" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Recon" + } + ], + "parts": [ + { + "id": "GEB.2.3_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Standorte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Abnahmeprotokoll" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Hör- und Sehschutz gegen den öffentlichen Raum" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "testen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Gebäudemanagement für Standorte SOLLTE Hör- und Sehschutz gegen den öffentlichen Raum testen." + }, + { + "id": "GEB.2.3_gdn", + "name": "guidance", + "prose": "Erkundung aus dem öffentlichen Raum ist die systematische Sammlung von Informationen, die ausschließlich von öffentlich zugänglichen Bereichen aus durchgeführt wird, um die Schwachstellen eines Standortes zu bewerten, ohne in Sperrzonen einzudringen. Hierbei könnten z.B. Sicherheitssysteme, Zugangspunkte und Personalroutinen ausgeforscht werden; Gespräche in offenen Bereichen wie Lobbys oder Raucherzonen aufgezeichnet werden, in denen sensible Informationen versehentlich preisgegeben werden könnten; zusätzliche Techniken wie das Durchsuchen von Mülltonnen (Dumpster Diving), drahtlose Signalanalyse und Social Engineering von öffentlichen Aussichtspunkten aus könnten zahlreiche Informationen ungewollt preisgeben. Hierbei sind sowohl Einblicke von öffentlichen Straßen, Plätzen oder sonstigen Flächen außerhalb des Perimeters relevant, als auch die Erkundung von höher gelegenen Positionen, z.B. gegenüberliegenden Hochhäusern oder Flugmaschinen wie Drohnen, bis hin zu Satellitenaufnahmen. Maßnahmen können z.B. Begehungen des Perimeters oder von höher gelegenen Räumlichkeiten, die Auswertung öffentlicher Sattelitenbilder oder eigene Drohnenflüge sein. Kann auch durch einen physischen Penetration Test sichergestellt werden." + } + ] + }, + { + "id": "GEB.2.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Elektromagnetische Abschirmung", + "props": [ + { + "name": "alt-identifier", + "value": "9835ce0d-94a4-4acc-96cf-489f20750808" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "parts": [ + { + "id": "GEB.2.4_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Standorte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Abnahmeprotokoll" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Elektromagnetische Abschirmung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "testen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Gebäudemanagement für Standorte KANN die Elektromagnetische Abschirmung testen." + }, + { + "id": "GEB.2.4_gdn", + "name": "guidance", + "prose": "Die elektromagnetische Abschirmung von Standorten dient dem Schutz vertraulicher Informationen vor unbefugter Erfassung durch elektromagnetische Abstrahlung. Computersysteme, Netzwerkgeräte und andere elektronische Ausrüstungen senden elektromagnetische Signale aus, die außerhalb des Gebäudes abgefangen werden könnten. Dies könnte zur ungewollten Offenlegung sensibler Daten führen, wie etwa bei Van-Eck-Phreaking, bei dem Bildschirminhalte aus der Ferne rekonstruiert werden können. Ein Angreifer könnte beispielsweise mit speziellem Equipment die ausgesendeten Signale eines Monitors oder Netzwerkkabels abfangen und daraus Passwörter, Finanzdaten oder Geschäftsgeheimnisse extrahieren, ohne physischen Zugang zum Gebäude zu benötigen. Bei der Umsetzung kann eine mehrstufige Strategie verfolgt werden. Die Räumlichkeiten können mit speziellen abschirmenden Materialien wie metallischen Geweben, leitfähigen Farben oder Folienbeschichtungen ausgekleidet werden, die als \"Faradayscher Käfig\" wirken. Fenster können mit metallbeschichteten Gläsern oder speziellen Folien versehen werden, die elektromagnetische Strahlung blockieren. Sicherheitsbereiche können nach Sensitivität der dort verarbeiteten Daten in verschiedene Zonen eingeteilt werden, wobei nur die kritischsten Bereiche vollständig abgeschirmt werden." + } + ] + } + ] + }, + { + "id": "GEB.3", + "title": "Physischer Zutritt", + "props": [ + { + "name": "label", + "value": "3" + }, + { + "name": "alt-identifier", + "value": "ae1d6874-2947-4e06-9dac-edb94ba47bd2" + } + ], + "controls": [ + { + "id": "GEB.3.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Überwachung von Zutrittspunkten", + "props": [ + { + "name": "alt-identifier", + "value": "0fcd1c71-d16d-4531-94f0-6023bf19b3e9" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "GEB.3.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Standorte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Prozess Gebäudemanagement" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Zutrittspunkte auf unbefugte Zutritte" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überwachen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Gebäudemanagement für Standorte SOLLTE Zutrittspunkte auf unbefugte Zutritte überwachen." + }, + { + "id": "GEB.3.1_gdn", + "name": "guidance", + "prose": "Eine kontinuierliche Überwachung der Zugangsmöglichkeiten, z.B. verschlossener Türen und Fenster an der Gebäudeaußenseite, verhindert, dass sich Unbefugte Zutritt verschaffen. Der hierzu erforderliche Personalbedarf hängt von Gebäudegröße und Schutzbedarf ab. Um den für eine kontinuierliche Überwachung erforderlichen Personalbedarf wirtschaftlich zu decken ist es zweckmäßig, Unterstützungssysteme wie Videokameras oder Einbruchsalarme einzusetzen. Die Umsetzung kann z.B. erfolgen durch Umzäunung, Kameraüberwachung, Bewegungsmelder und einen Wachdienst." + } + ], + "controls": [ + { + "id": "GEB.3.1.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Videoüberwachung", + "props": [ + { + "name": "alt-identifier", + "value": "842a359b-f8fe-4c81-82e3-50d949dc4bbd" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + } + ], + "parts": [ + { + "id": "GEB.3.1.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Standorte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Prozess Gebäudemanagement" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Zutritte" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "per Video" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überwachen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Gebäudemanagement für Standorte KANN Zutritte per Video überwachen." + }, + { + "id": "GEB.3.1.1_gdn", + "name": "guidance", + "prose": "Die Auswertung der Videoaufzeichnungen kann je nach Risikoprofil und Geschäftsprozessen anlassbezogen und stichpunktartig, kontinuierlich durch Wachpersonal oder durch Verwendung von KI-Videoanalyse, z.B. zur Erkennung von „tail-gating“ oder zurückgelassenen Gegenständen, erfolgen. Hier besteht ein enger Zusammenhang zu Compliance-Verpflichtungen zum Datenschutz (z.B. Informationspflichten), insbesondere im öffentlichen Raum." + } + ] + }, + { + "id": "GEB.3.1.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Überprüfung mitgeführter Gegenstände", + "props": [ + { + "name": "alt-identifier", + "value": "012da5ef-7ee9-4bf2-bb39-eebd2ae7b17b" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "parts": [ + { + "id": "GEB.3.1.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Standorte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Prozess Gebäudemanagement" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "das Mitführen von Gegenständen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überwachen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Gebäudemanagement für Standorte KANN das Mitführen von Gegenständen überwachen." + }, + { + "id": "GEB.3.1.2_gdn", + "name": "guidance", + "prose": "Die Überwachung des Mitführens von Gegenständen (z.B. am Empfang) kann an Standorten mit besonderen Sicherheitsrisiken dazu beitragen, unerlaubtes Einschleusen von Diebstahlwerkzeugen, schädlichen Datenträgern oder gefährlichen Gegenständen zu verhindern. Durch eine stichprobenartige Kontrolle von Taschen, Rucksäcken oder Paketlieferungen kann erkannt werden, ob unbeaufsichtigt Materialien wie USB‑Sticks, externe Festplatten oder andere Speichermedien ins Gebäude gelangen, die vertrauliche Informationen unbemerkt abziehen könnten. Ebenso kann das Verfahren auf Metallgegenstände oder Flüssigkeiten ausgeweitet werden, um das Risiko von Diebstahl, Sabotage oder physischen Angriffen zu reduzieren. Beispielsweise könnte ein nicht registrierter Besucher eine Videokamera einschleusen und damit sensible Produktionsprozesse filmen, oder ein unbeaufsichtigter Paketbote könnte Malware‑belastete Hardware mitliefern – durch die Kontrolle am Empfang kann solchen Szenarien vorgebeugt werden. Die Umsetzung kann stichprobenartig oder durchgehend erfolgen: Einmal täglich kann eine Auswahl von Taschen stichprobenartig geöffnet und mit einer Liste erlaubter Gegenstände abgeglichen werden; hierbei kann ein einfaches Check‑in‑Formular eingesetzt werden, in das Besucherinnen und Besucher freiwillig ihre mitgeführten Gegenstände eintragen können. Ergänzend kann ein abschließender Scan mit einem Metalldetektor oder ein kurzer Blick in unverschlossene Fächer erfolgen, was den Aufwand gering hält und den Durchfluss am Empfang weniger beeinträchtigt. Hier besteht ein enger Bezug zu den Persönlichkeitsrechten der Betroffenen. Eine klar kommunizierte Hausordnung oder ein Informationsblatt kann helfen die Maßnahmen zu erläutern, sodass Besucher erkennen, dass die Kontrollen dem Schutz aller Beteiligten dienen. Gegenstände, die vorübergehend nicht mitgeführt werden dürfen, können gegen Quittung sicher deponiert werden. Auf diese Weise entsteht eine nachvollziehbare Historie, die im Fall eines Vorfalls als Nachweis dienen kann." + } + ] + } + ] + }, + { + "id": "GEB.3.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Anmelde- und Empfangsbereiche", + "props": [ + { + "name": "alt-identifier", + "value": "46bec5e4-88b9-45d1-ae2a-56b534ad94ad" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + } + ], + "parts": [ + { + "id": "GEB.3.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Standorte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Gebäudedokumentation" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Anmelde- und Empfangsbereiche" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "installieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Gebäudemanagement für Standorte SOLLTE Anmelde- und Empfangsbereiche installieren." + }, + { + "id": "GEB.3.2_gdn", + "name": "guidance", + "prose": "Die Einrichtung definierter Anmelde- und Empfangsbereiche dient der Kontrolle des physischen Zugangs zum Standort. Diese Bereiche können als erste Verteidigungslinie fungieren, indem sie einen klaren Trennpunkt zwischen öffentlichen und geschützten Zonen etablieren. Durch die strukturierte Implementierung solcher Bereiche können unbefugte Zutritte vermieden werden, die andernfalls zu Sicherheitsverletzungen führen könnten. Ein fehlendes oder unzureichendes Empfangsmanagement könnte beispielsweise dazu führen, dass nicht autorisierte Personen unkontrolliert Zugang zu sensiblen Bereichen erhalten, vertrauliche Dokumente einsehen, Firmengeheimnisse entwenden oder sogar physische Sabotageakte durchführen. Bei der Umsetzung können verschiedene Ansätze verfolgt werden, die je nach Institution und sonstigen angewendeten Sicherheitsanforderungen variieren. Der Anmeldebereich kann mit einem digitalen Besuchermanagementsystem ausgestattet werden, welches die Authentifizierung und Registrierung von Besuchern erleichtert und eine lückenlose Dokumentation ermöglicht. Ergänzend hierzu kann die räumliche Gestaltung durch klare Beschilderung, bauliche Trennung mittels Schranken oder Drehkreuzen sowie die strategische Positionierung des Empfangsbereichs optimiert werden. Zudem kann die Schulung des Empfangspersonals in Sicherheitsprotokollen und die Einführung von Besucherausweisen mit temporären Zugriffsrechten die Effektivität dieser Sicherheitsmaßnahme verstärken. Die Integration mit anderen Sicherheitssystemen wie Videoüberwachung oder elektronischen Zutrittskontrollsystemen kann ebenfalls in Betracht gezogen werden, um ein umfassendes Sicherheitskonzept zu gewährleisten." + } + ] + }, + { + "id": "GEB.3.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Authentifizierung vor Zutritt", + "props": [ + { + "name": "alt-identifier", + "value": "5ac8362d-3e6b-4922-8e12-66a80d8d883b" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "links": [ + { + "href": "#BER.6.4", + "rel": "related" + }, + { + "href": "#DET.3.1.1", + "rel": "related" + } + ], + "parts": [ + { + "id": "GEB.3.3_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Standorte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Prozess Gebäudemanagement" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Zutritte" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "im Einklang mit den Festlegungen des Identitäts- und Berechtigungsmanagements" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "authentifizieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Gebäudemanagement für Standorte SOLLTE Zutritte im Einklang mit den Festlegungen des Identitäts- und Berechtigungsmanagements authentifizieren." + }, + { + "id": "GEB.3.3_gdn", + "name": "guidance", + "prose": "Der Zweck der Authentifizierung von Zutritten liegt in der grundlegenden Absicherung physischer Zugänge gegen unbefugte Nutzung. Dies kann verhindern, dass Unbefugte Zugang zu sensiblen Bereichen oder Informationen erhalten. Ohne angemessene Zutrittskontrolle könnte beispielsweise ein nicht autorisierter Besucher in einen Serverraum gelangen und dort Hardware manipulieren, Datenträger entwenden oder Netzwerkkabel umstecken. Ebenso könnte ein ehemaliger Mitarbeiter ohne wirksame Authentifizierung weiterhin auf Systeme zugreifen und vertrauliche Daten entwenden oder geschäftskritische Informationen kompromittieren. Bei der Umsetzung kann ein mehrstufiger Ansatz verfolgt werden, der verschiedene Authentifizierungsfaktoren kombiniert: Wissen (z.B. PIN-Codes, Passwörter), Besitz (z.B. Chipkarten, Tokens, Schlüssel) und biometrische Merkmale (z.B. Fingerabdruck, Gesichtserkennung). Die Stärke der Authentifizierung kann dabei an die Schutzbedürftigkeit des zu schützenden Bereichs angepasst werden – für hochsensible Bereiche können Zwei- oder Mehr-Faktor-Authentifizierungen implementiert werden. Als ergänzende Maßnahme kann ein Monitoring der Zutrittsereignisse eingerichtet werden, das ungewöhnliche Zugriffsversuche erkennt und meldet. Zudem kann die regelmäßige Überprüfung und Aktualisierung der Zutrittsberechtigungen dazu beitragen, dass nur aktuell berechtigte Personen Zugang erhalten. Die Formulierung \"im Einklang mit den Festlegungen des Identitäts- und Berechtigungsmanagements\" bedeutet, dass die Authentifizierung so erfolgt, wie in der Praktik IDM festgelegt. Hierzu gehört insbesondere die Verwendung aktueller kryptographischer Verfahren, wie sie im Thema Kryptographie zu finden ist." + } + ], + "controls": [ + { + "id": "GEB.3.3.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Zugangskontrollanlage", + "params": [ + { + "id": "geb.3.3.1-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "5bc938de-7123-4793-8ba4-3183c2264acf" + } + ], + "label": "einen automatiserten Mechanismus" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "5bc938de-7123-4793-8ba4-3183c2264acf" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "parts": [ + { + "id": "GEB.3.3.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Standorte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Prozess Gebäudemanagement" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Zutritte durch {{einen automatiserten Mechanismus}}" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "im Einklang mit den Festlegungen des Identitäts- und Berechtigungsmanagements" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "authentifizieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Gebäudemanagement für Standorte KANN Zutritte durch {{ insert: param, geb.3.3.1-prm1 }} im Einklang mit den Festlegungen des Identitäts- und Berechtigungsmanagements authentifizieren." + }, + { + "id": "GEB.3.3.1_gdn", + "name": "guidance", + "prose": "Der Einsatz einer automatischen Zugangskontrollanlage zur Authentifizierung von Personen dient primär dem Schutz von sensiblen Bereichen, vertraulichen Informationen und kritischer Infrastruktur. Durch diese Maßnahme kann sichergestellt werden, dass nur autorisierte Personen Zutritt zu geschützten Bereichen erhalten, wodurch das Risiko von Industriespionage, Datendiebstahl oder Sabotage erheblich reduziert werden kann. Ohne eine solche Kontrolle könnte es beispielsweise zu unbefugtem Zutritt durch Fremde kommen, die sich als Mitarbeiter ausgeben, oder zu einem \"Tailgating\"-Vorfall, bei dem Unbefugte autorisierten Personen unbemerkt folgen und sich so Zugang verschaffen. Bei der Implementierung einer automatischen Zugangskontrollanlage kann eine mehrfaktorielle Authentifizierung in Betracht gezogen werden, die auf einer Kombination aus Besitz (z.B. Chipkarte, Token), Wissen (PIN-Code, Passwort) und/oder biometrischen Merkmalen (Fingerabdruck, Gesichtserkennung) basiert. Die Zugangsrechte können granular nach Personengruppen, Zeitfenstern und Bereichen differenziert werden, was die Sicherheit weiter erhöht. Für eine effektive Umsetzung kann die regelmäßige Überprüfung der Protokolle der Zugangskontrollanlage auf ungewöhnliche Aktivitäten hilfreich sein, ebenso wie regelmäßige Sensibilisierungsmaßnahmen für Mitarbeiter bezüglich der korrekten Nutzung der Anlage und der Vermeidung von Sicherheitslücken wie dem gemeinsamen Nutzen von Zugangsmitteln. Die Formulierung \"im Einklang mit den Festlegungen des Identitäts- und Berechtigungsmanagements\" bedeutet, dass die Authentifizierung so erfolgt, wie in der Praktik IDM festgelegt. Hierzu gehört insbesondere die Verwendung aktueller kryptographischer Verfahren, wie sie im Thema Kryptographie zu finden ist." + } + ] + }, + { + "id": "GEB.3.3.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Dokumentation von Zutritten", + "props": [ + { + "name": "alt-identifier", + "value": "a0b89dd6-4aec-41bd-b4bf-01e704072ed5" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "parts": [ + { + "id": "GEB.3.3.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Standorte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Audit Log" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Zutritte und Austritte" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "mit Identität und Zeitpunkt" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Gebäudemanagement für Standorte KANN Zutritte und Austritte mit Identität und Zeitpunkt dokumentieren." + }, + { + "id": "GEB.3.3.2_gdn", + "name": "guidance", + "prose": "Im Kontext dieser Anforderung bedeutet Identität die eindeutige Zuordnung einer Person zu einem Zutritt oder Austritt, etwa durch Namensangabe, Personalnummer oder ein elektronisches Identifikationsmerkmal wie eine Chipkarte. Der Zeitpunkt ist die präzise Erfassung von Datum und Uhrzeit, an dem ein Zutritts- oder Austrittsvorgang stattfindet. Diese beiden Informationen können so kombiniert werden, dass nachvollziehbar wird, wer zu welchem Zeitpunkt ein Gebäude oder einen bestimmten Bereich betreten oder verlassen hat. Dies gilt sowohl für Mitarbeitende als auch für Besuchende. Für die Umsetzung kann eine Institution z.B. elektronische Zutrittskontrollsysteme einsetzen, die beim Karten- oder Transpondereinsatz automatisch Identität und Zeitpunkt speichern. Auch ein biometrisches Terminal kann die Anforderung erfüllen, wenn es die Daten mit Zeitstempel dokumentiert. Als einfachere Variante kann ein digital geführtes Besucherbuch genutzt werden, in das Namen und Uhrzeit bei Ein- und Austritt eingetragen werden. Eine Institution kann ergänzend festlegen, dass Daten regelmäßig exportiert und manipulationssicher archiviert werden, sodass spätere Prüfungen möglich sind. Hilfreich kann zudem sein, bei Zutrittskarten eine Schnittstelle zur HR-Verwaltung einzurichten, damit Identitäten bei Austritt von Mitarbeitenden automatisch deaktiviert werden und die Dokumentation lückenfrei bleibt. Diese Protokolle dienen als wichtige Grundlage für forensische Analysen und können zur Aufklärung von Diebstahl, Sabotage oder unbefugtem Datenzugriff beitragen." + } + ] + }, + { + "id": "GEB.3.3.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Besucheranmeldung", + "params": [ + { + "id": "geb.3.3.3-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "ce537201-8949-41a6-855b-c7671d226853" + } + ], + "label": "eine zuständige Person oder Rolle" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "ce537201-8949-41a6-855b-c7671d226853" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "GEB.3.3.3_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Standorte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Prozess Gebäudemanagement" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Besuche" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "durch {{eine zuständige Person oder Rolle}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "autorisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Gebäudemanagement für Standorte SOLLTE Besuche durch {{ insert: param, geb.3.3.3-prm1 }} autorisieren." + }, + { + "id": "GEB.3.3.3_gdn", + "name": "guidance", + "prose": "Der Begriff „Besuche“ bezeichnet in diesem Kontext physische Zutritte externer Personen wie Dienstleister, Lieferanten oder Gäste, die sich nicht dauerhaft im Gebäude aufhalten und daher besondere Anforderungen an die Zutrittsregelung stellen. Die Autorisierung von Besuchen meint hier, dass ein Besuch vor Betreten der Räumlichkeiten durch eine verantwortliche Stelle vorab geprüft, freigegeben und dokumentiert wird – dies kann formell (z. B. digitaler Antrag) oder informell (z. B. Genehmigung per E-Mail) erfolgen. Der Zweck dieser Vorschrift liegt darin, unkontrollierten Zutritt und damit verbundene Risiken zu verhindern: Unangemeldete Besucher könnten beispielsweise unbefugt vertrauliche Informationen einsehen oder technische Anlagen manipulieren. Eine klare Autorisierung kann dagegen sicherstellen, dass nur berechtigte Personen Zutritt erhalten und gleichzeitig nachvollziehbar bleibt, wer sich wann und aus welchem Grund im Gebäude aufgehalten hat. Für die Umsetzung kann eine Institution etwa ein digitales Besuchermanagementsystem einsetzen, das Einladungen erstellt, Genehmigungen einholt und Einlasscodes zeitlich begrenzt vergibt. Alternativ kann ein analoges Verfahren genutzt werden, bei dem Besucherausweise am Empfang ausgegeben und gegen Vorlage eines Ausweisdokuments registriert werden. Um Warteschlangen am Empfang zu verringern, kann die Autorisierung des Besuchs auch im Voraus abgewickelt werden, z.B. über eine mobile QR-Vorregistrierung mit Verifizierung der Identität über den digitalen Ausweis. Eine einfache, aber wirksame Maßnahme kann auch die Vorabstimmung über Besuchslisten sein, die tagesaktuell an Empfang oder Sicherheitspersonal übermittelt werden." + } + ] + } + ] + }, + { + "id": "GEB.3.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Berechtigungsmarkierung", + "props": [ + { + "name": "alt-identifier", + "value": "63985f87-b50e-4c73-9962-f026b5e6d840" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "parts": [ + { + "id": "GEB.3.4_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Nutzende, Standorte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Arbeitsanweisung" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "zum Tragen von gut sichtbaren Berechtigungsmarkierungen innerhalb des Sicherheitsperimeters" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "anweisen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Gebäudemanagement für Nutzende von Standorten KANN zum Tragen von gut sichtbaren Berechtigungsmarkierungen innerhalb des Sicherheitsperimeters anweisen." + }, + { + "id": "GEB.3.4_gdn", + "name": "guidance", + "prose": "Unter Berechtigungsmarkierungen sind physische Kennzeichen wie Ausweise, Badges, Namensschilder oder Kartenhalter zu verstehen, die eine eindeutige Zuordnung einer Person zu ihrer Zugangsberechtigung ermöglichen. Sie können zudem farblich, mit Fotos oder Barcodes gestaltet sein, um unterschiedliche Zutrittsrechte auf einfache Weise erkennbar zu machen. Der Sinn einer solchen Vorgabe liegt darin, dass unbefugte Personen leichter auffallen und damit potenzielle Gefährdungen frühzeitig erkannt werden. So könnte ein Vorfall entstehen, wenn sich Unbefugte unbemerkt Zutritt zu kritischen Bereichen verschaffen, indem sie sich in einer Gruppe mit berechtigten Personen bewegen. Dagegen kann eine sichtbare Berechtigungsmarkierung helfen, Anomalien rasch zu erkennen und eine unauffällige, aber effektive Zugangskontrolle im Alltag zu unterstützen. Dies gilt sowohl für Mitarbeitende als auch für Besuchende. Für die Umsetzung kann eine Institution beispielsweise darauf achten, dass Markierungen gut sichtbar an Kleidung oder einem Schlüsselband getragen werden können. Sie kann auch unterschiedliche Farbkennungen nutzen, um klar zwischen Besuchenden, Dienstleistern und Mitarbeitenden zu unterscheiden. Für Besuche kann ein einfaches Verfahren eingeführt werden, mit dem Besuchende beim Betreten des Gebäudes ein temporäres Ausweisdokument erhalten, das bei Verlassen wieder zurückzugeben ist. Um die Akzeptanz zu erhöhen, kann das Gebäudemanagement praktikable Trageoptionen wie Clips, Lanyards oder magnetische Halterungen bereitstellen, die den Alltag nicht behindern." + } + ] + }, + { + "id": "GEB.3.5", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Einbruchhemmung", + "params": [ + { + "id": "geb.3.5-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "02f648cd-8aec-4bfb-b751-dab8974d874c" + } + ], + "label": "einer entsprechenden Norm" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "02f648cd-8aec-4bfb-b751-dab8974d874c" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "parts": [ + { + "id": "GEB.3.5_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Standorte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Gebäudedokumentation" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "einbruchhemmende Bauteile" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "nach {{einer entsprechenden Norm}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "installieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Gebäudemanagement für Standorte KANN einbruchhemmende Bauteile nach {{ insert: param, geb.3.5-prm1 }} installieren." + }, + { + "id": "GEB.3.5_gdn", + "name": "guidance", + "prose": "Befinden sich am Standort Assets oder Geschäftsprozesse mit erhöhtem Schutzbedarf, so ist es sinnvoll, diese auch gegen hartnäckigere Einbruchsversuche zu schützen, z.B. größere Serverräume oder Datenträgerarchive, sowie Standorte im Fokus der Öffentlichkeit oder von ideologischen Gewalttätern. Die passenden Maßnahmen richten sich nach dem Risikoprofil der zu schützenden Assets, sowie der potenziellen Täter. So kann der Einbau rundum einbruchsicherer Bauteile wie Wände und Türen nach DIN EN 1627 RC3 oder besser sinnvoll sein. Für massive Bedrohungen von Außen bieten sich Poller oder hydraulische Straßensperren, ausgelegt für ein bestimmtes Gewicht bei einer bestimmten Geschwindigkeit, an. Die Anforderung ist auch dann erfüllt, wenn der Standort bereits von Dritten nach Normen wie DIN EN 1627 RC3 erbaut und abgenommen wurde." + } + ] + }, + { + "id": "GEB.3.6", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Einbruchmeldeanlagen", + "params": [ + { + "id": "geb.3.6-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "01193c74-a4fc-4669-816c-651fcdca362e" + } + ], + "label": "einer entsprechenden Norm" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "01193c74-a4fc-4669-816c-651fcdca362e" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "parts": [ + { + "id": "GEB.3.6_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Standorte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Prozess Gebäudemanagement" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Einbrüche" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "nach {{einer entsprechenden Norm}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überwachen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Gebäudemanagement für Standorte KANN Einbrüche nach {{ insert: param, geb.3.6-prm1 }} überwachen." + }, + { + "id": "GEB.3.6_gdn", + "name": "guidance", + "prose": "Für Standorte mit erhöhtem Schutzbedarf ist eine Einbruchmeldeanlage sinnvoll. Die Anforderung gilt erst dann als umgesetzt, wenn alle vorhandenen Türen, Fenster und sonstige geschützte Öffnungen über die Einbruchmeldeanlage auf Verschluss, Verriegelung und Durchbruch überwacht werden." + } + ] + }, + { + "id": "GEB.3.7", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Kontrolle der Zutrittskontrolle", + "params": [ + { + "id": "geb.3.7-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "407e3436-9719-4c45-a009-183c7818d376" + } + ], + "label": "regelmäßig" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "407e3436-9719-4c45-a009-183c7818d376" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + } + ], + "parts": [ + { + "id": "GEB.3.7_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Standorte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Übungs- und Prüfplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die angewendeten Zutrittskontrollmaßnahmen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{regelmäßig}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überprüfen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Gebäudemanagement für Standorte SOLLTE die angewendeten Zutrittskontrollmaßnahmen {{ insert: param, geb.3.7-prm1 }} überprüfen." + }, + { + "id": "GEB.3.7_gdn", + "name": "guidance", + "prose": "Die Funktionsfähigkeit von Zugangkontrollen wie Wachdiensten und Schließanlagen ist essenziell, um den Zutritt Unbefugter wirksam verhindern zu können. Regelmäßige Überprüfungen können beispielsweise durch angekündigte oder unangekündigte Rundgänge, die stichprobenartige Auswertung von Kameraaufzeichnungen und Logbüchern oder die Analyse verschiedener Kennzahlen erfolgen." + } + ] + } + ] + }, + { + "id": "GEB.4", + "title": "Sicherheitsbereiche", + "props": [ + { + "name": "label", + "value": "4" + }, + { + "name": "alt-identifier", + "value": "6879281b-85d6-4289-a073-1d65d1b069a5" + } + ], + "controls": [ + { + "id": "GEB.4.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Einrichtung", + "props": [ + { + "name": "alt-identifier", + "value": "b545c003-c5ea-4d18-bcf5-d5651f9eba7c" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "parts": [ + { + "id": "GEB.4.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Standorte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Gebäudedokumentation" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "geschlossene Sicherheitsbereiche" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "installieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Gebäudemanagement für Standorte KANN geschlossene Sicherheitsbereiche installieren." + }, + { + "id": "GEB.4.1_gdn", + "name": "guidance", + "prose": "Ein Sicherheitsbereich ist ein klar abgegrenzter physischer Raum, für die ein eigener Perimeter eingerichtet wird und dessen Betreten ausschließlich autorisiertem Personal oder unter engen Voraussetzungen gestattet wird. Solche Bereiche dienen dem Schutz von Personen, Anlagen, sensiblen Informationen oder betriebskritischen Prozessen. Standorte oder Teile eines Standortes mit erhöhtem Schutzbedarf können so vor unbefugten Eingriffen geschützt werden, z.B. Serverräume, Arbeitsplätze für Administrierende oder die Institutionsleitung. Zur Umsetzung können z.B. Zutrittskontrollanlagen oder Bewachung eingesetzt werden. Wenn es sich um Hochsicherheitsbereiche handelt, kann der Zutritt mit einem Mehr-Faktor-Verfahren (z.B. Smartcard mit PIN) davor geschützt werden, dass Unbefugte sich durch entwendete Schlüssel oder Authentifizierungstoken Zugang verschaffen." + } + ] + }, + { + "id": "GEB.4.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Gesonderte Autorisierung", + "params": [ + { + "id": "geb.4.2-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "94d3b9c2-9040-4bb6-9153-54d5c488a085" + } + ], + "label": "eine zuständige Person oder Rolle" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "94d3b9c2-9040-4bb6-9153-54d5c488a085" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "parts": [ + { + "id": "GEB.4.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Standorte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Prozess Identitäts- und Berechtigungsmanagement" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Zutrittsberechtigung zu diesem Sicherheitsbereich" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "durch {{eine zuständige Person oder Rolle}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "autorisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Gebäudemanagement für Standorte KANN die Zutrittsberechtigung zu diesem Sicherheitsbereich durch {{ insert: param, geb.4.2-prm1 }} autorisieren." + }, + { + "id": "GEB.4.2_gdn", + "name": "guidance", + "prose": "Eine zuständige Person oder Rolle kann beispielsweise die Sicherheitsbeauftragte, der Standortleiter, eine definierte Facility-Management-Rolle oder ein zentrales Berechtigungsmanagement sein. Die Anforderung bedeutet, dass der Zutritt zu einem definierten Sicherheitsbereich – also einem räumlich abgegrenzten Bereich, in dem sensible Werte wie IT-Systeme, Netzwerktechnik oder vertrauliche Unterlagen geschützt werden – nicht automatisch, sondern nur durch eine bewusste Autorisierung erteilt werden kann. Sinn und Zweck dieser Regelung liegt darin, unbefugte Zugriffe zu verhindern, die etwa durch unkontrollierte Weitergabe von Schlüsseln oder Zutrittskarten entstehen könnten. Ein Vorfall könnte sein, dass ein ehemaliger Mitarbeiter noch Zugang erhält und vertrauliche Unterlagen entwendet; durch eine klare Autorisierung kann sichergestellt werden, dass nur tatsächlich berechtigte Personen Zutritt erhalten. Zur Umsetzung kann eine Institution ein abgestuftes Verfahren einrichten, bei dem die Autorisierung dokumentiert und nachvollziehbar erfolgt. Dies kann z. B. durch ein zentrales elektronisches Zutrittskontrollsystem erfolgen, bei dem eine zuständige Rolle die Rechte gezielt freischalten und zeitlich begrenzen kann. Auch eine papierbasierte Liste mit Zutrittsberechtigungen kann sinnvoll sein, solange sie regelmäßig geprüft und aktualisiert wird. Praktisch hilfreich kann es sein, wenn (1) jede Berechtigung mit einem Enddatum versehen wird, (2) der Widerruf von Berechtigungen in die Prozesse für Personaländerungen integriert wird, und (3) das Gebäudemanagement regelmäßig Berichte über aktive Berechtigungen an die zuständige Person liefert. So kann sichergestellt werden, dass Zutrittsrechte nicht veralten und jederzeit eine klare Zuordnung von Personen zu Sicherheitsbereichen besteht." + } + ] + }, + { + "id": "GEB.4.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Schleusen", + "props": [ + { + "name": "alt-identifier", + "value": "b524ac99-b28f-486c-8269-3e589f21cc2d" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "parts": [ + { + "id": "GEB.4.3_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Standorte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Gebäudedokumentation" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Schleusen an Zugangspunkten" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "installieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Gebäudemanagement für Standorte KANN Schleusen an Zugangspunkten installieren." + }, + { + "id": "GEB.4.3_gdn", + "name": "guidance", + "prose": "Eine Schleuse bezeichnet im Gebäudemanagement eine bauliche oder technische Einrichtung, die den Zutritt an einem Zugangspunkt so regelt, dass jeweils nur eine Person oder ein definiertes Objekt kontrolliert den Bereich passieren kann. Typische Formen sind Personenvereinzelungsanlagen wie Drehkreuze, Sicherheitsschleusen mit zwei Türen, die nie gleichzeitig geöffnet sind, oder Materialschleusen für Lieferungen. Der Sinn einer solchen Einrichtung liegt darin, unkontrolliertes Eindringen oder das Einschleusen unbefugter Personen zu verhindern. Ohne Schleusen könnte etwa jemand einer berechtigten Person unbemerkt folgen („Tailgating“) oder mehrere Personen gleichzeitig eine Zugangskarte verwenden. Mit Schleusen kann dagegen sichergestellt werden, dass jede Person oder jedes Transportgut einzeln überprüft wird und Manipulationsversuche erkannt werden. Für die Umsetzung kann eine Institution verschiedene Maßnahmen wählen: (1) Eine Schleuse kann mit Zutrittskontrollsystemen gekoppelt werden, sodass Türen erst nach erfolgreicher Authentifizierung (z. B. Kartenleser oder biometrische Erkennung) freigegeben werden. (2) Sensoren wie Gewichtssensoren oder 3D-Kameras können zusätzlich eingesetzt werden, um das Mitführen weiterer Personen zu erkennen. (3) Bei Material- oder Lieferantenschleusen kann ein Zwei-Personen-Prinzip implementiert werden, sodass ein Mitarbeiter der Institution den Vorgang begleitet. Auch prozessuale Ergänzungen wie regelmäßige Tests der Schleusenfunktionen, klare Regelungen zum Verhalten bei Fehlalarmen oder Hinweisschilder für Besucher können die Wirksamkeit erhöhen. So kann der Zugang zum Gebäude an kritischen Punkten kontrolliert und ein hohes Maß an physischer Sicherheit erzielt werden." + } + ] + }, + { + "id": "GEB.4.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Vereinzelungsanlage", + "props": [ + { + "name": "alt-identifier", + "value": "b1e5f020-7243-4c70-b21a-85f55b68353c" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "parts": [ + { + "id": "GEB.4.4_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Standorte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Gebäudedokumentation" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Vereinzelungsanlagen an Zugangspunkten" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "installieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Gebäudemanagement für Standorte KANN Vereinzelungsanlagen an Zugangspunkten installieren." + }, + { + "id": "GEB.4.4_gdn", + "name": "guidance", + "prose": "Eine Vereinzelungsanlage ist eine technische Einrichtung, die den gleichzeitigen Zutritt mehrerer Personen verhindert und so den Zugang zu besonders sensiblen Bereichen kontrolliert. Typische Beispiele sind Drehkreuze, Personenschleusen oder Sicherheitsschleusen mit Gewichtssensoren. Der Sinn dieser Maßnahme liegt darin, unbefugtes Betreten durch sogenanntes „Tailgating“ (eine Person folgt unberechtigt einer berechtigten Person) oder durch Einschleusen mehrerer Personen mit einem Zugangsausweis zu verhindern. Ohne solche Einrichtungen könnte es passieren, dass fremde Personen unerkannt in Serverräume oder Entwicklungsbereiche gelangen. Mit einer Vereinzelungsanlage kann hingegen zuverlässig sichergestellt werden, dass nur eine eindeutig identifizierte Person Zutritt erhält. Für die Umsetzung kann eine Institution mehrere Möglichkeiten nutzen: (1) Drehkreuze oder Sensorschleusen können an Hauptzugängen zu Bereichen mit kritischen Informationen eingesetzt werden, wobei sie mit Zutrittskontrollsystemen wie Chipkarten- oder Biometrie-Lesern kombiniert werden können. (2) Eine Zwei-Türen-Schleuse kann eingerichtet werden, die erst die zweite Tür freigibt, wenn die erste korrekt geschlossen ist und die Person authentifiziert wurde. (3) Sensorische Zusatzkontrollen wie Gewichtserkennung oder Volumendetektion können dabei helfen, dass keine zweite Person unerkannt mit hindurchgeht. Zudem kann die Wirksamkeit erhöht werden, wenn diese Systeme mit klaren Nutzungsregeln, wie Schulungen zum richtigen Durchschreiten und Hinweisschildern, ergänzt werden. Auch ein regelmäßiger Funktionstest der Anlagen kann helfen, Manipulation oder Fehlfunktionen frühzeitig zu erkennen." + } + ] + } + ] + }, + { + "id": "GEB.5", + "title": "Gemeinsame Arbeitsbereiche", + "props": [ + { + "name": "label", + "value": "5" + }, + { + "name": "alt-identifier", + "value": "568e9756-10ae-439c-9a20-61c443181f2c" + } + ], + "controls": [ + { + "id": "GEB.5.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Clean Desk", + "props": [ + { + "name": "alt-identifier", + "value": "b5fcf9c6-b6e5-4018-bb9b-64344a2e0a4e" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "GEB.5.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Räume" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Arbeitsanweisung" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "zum Aufräumen von vertraulichen Dokumenten und Datenträgern" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "vor dem Verlassen des Arbeitsplatzes" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "anweisen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Gebäudemanagement für Räume SOLLTE zum Aufräumen von vertraulichen Dokumenten und Datenträgern vor dem Verlassen des Arbeitsplatzes anweisen." + }, + { + "id": "GEB.5.1_gdn", + "name": "guidance", + "prose": "Ein aufgeräumter Arbeitplatz („Clean Desk Policy“) kann dazu beitragen, Informationssicherheit und Datenschutz am Arbeitsplatz zu stärken, indem sie verhindert, dass vertrauliche Unterlagen, Datenträger oder elektronische Geräte unbefugt eingesehen oder entwendet werden. Durch konsequentes Aufräumen am Ende des Arbeitstages oder bei längeren Abwesenheiten kann das Risiko von Datenlecks, Industriespionage oder versehentlicher Offenlegung sensibler Informationen minimiert werden. Gleichzeitig kann eine aufgeräumte Arbeitsumgebung die Konzentration und Effizienz der Mitarbeitenden fördern, da unnötige Ablenkungen reduziert werden und das Wiederfinden wichtiger Unterlagen beschleunigt wird. Hierzu gehören sowohl physische Unterlagen wie Akten, Notizzettel oder Ausdrucke mit personenbezogenen oder geschäftskritischen Daten, als auch elektronische Datenträger oder Bildschirminhalte." + } + ] + }, + { + "id": "GEB.5.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Screen Lock", + "props": [ + { + "name": "alt-identifier", + "value": "56f4e238-cbce-4353-b4a8-bc3ee1c665c5" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "GEB.5.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Räume" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Arbeitsanweisung" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "zum Sperren von IT-System" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "vor dem Verlassen des Arbeitsplatzes" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "anweisen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Gebäudemanagement für Räume SOLLTE zum Sperren von IT-System vor dem Verlassen des Arbeitsplatzes anweisen." + }, + { + "id": "GEB.5.2_gdn", + "name": "guidance", + "prose": "Diese Vorgehensweise hilft dabei, unbefugten Zugriff auf sensible Informationen zu verhindern, die auf dem Bildschirm angezeigt werden könnten. Ansonsten könnte es zu unbefugten Zugriffen auf Daten oder die Systeme selber kommen, wenn diese unbewacht und ungesperrt zurückgelassen werden." + } + ] + }, + { + "id": "GEB.5.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Lieferzugang", + "props": [ + { + "name": "alt-identifier", + "value": "bf559e67-d53f-4ef3-928b-5d9774e7b87c" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + } + ], + "parts": [ + { + "id": "GEB.5.3_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Standorte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Gebäudedokumentation" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "einen Zugang für die Abwicklung von Lieferungen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "ohne unbefugten Zugang zum restlichen Standort" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "installieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Gebäudemanagement für Standorte SOLLTE einen Zugang für die Abwicklung von Lieferungen ohne unbefugten Zugang zum restlichen Standort installieren." + }, + { + "id": "GEB.5.3_gdn", + "name": "guidance", + "prose": "Ein Zugang für die Abwicklung von Lieferungen ist ein baulich abgegrenzter Bereich (engl. delivery access point), der es ermöglicht, Waren, Material oder technische Geräte geschützt vor sonstigen äußeren Einflüssen anzunehmen bzw. abzugeben, ohne dass Lieferpersonal oder externe Dienstleister unkontrollierten Zutritt zu sicherheitsrelevanten Bereichen in der Institution erhalten. Unbefugter Zugang meint hierbei jeden Zutritt durch Personen, die für den betroffenen Standort oder bestimmte Schutzbereiche keine Zutrittsberechtigung besitzen (engl. unauthorized access). Der Sinn dieser Vorgabe liegt darin, Risiken durch unkontrollierte physische Zugänge zu minimieren: Ein Lieferant könnte etwa versehentlich oder absichtlich in interne Büro- oder Technikbereiche gelangen und dadurch vertrauliche Informationen, IT-Geräte oder Zugangsdaten einsehen oder entwenden. Eine bauliche und organisatorische Trennung kann dagegen gewährleisten, dass Lieferungen gesteuert angenommen, geprüft und weiterverarbeitet werden, ohne sicherheitskritische Bereiche zu gefährden. Beispielsweise kann es je nach Standort sinnvoll sein: (1) separate Schleusen- oder Annahmebereiche mit kontrollierter Türverriegelung, (2) Gegensprechanlagen oder Kameraeinrichtungen zur Identifikation von Lieferanten, (3) zeitlich begrenzte oder zonenbeschränkte Zutrittsberechtigungen über elektronische Zugangssysteme, sowie (4) baulich getrennte Lieferzonen mit Sichtschutz und gesichertem Übergabepunkt einzurichten." + } + ] + }, + { + "id": "GEB.5.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Schutz gegen Manipulation", + "props": [ + { + "name": "alt-identifier", + "value": "59810143-17bf-49b6-91d0-1266cb7eb9da" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "parts": [ + { + "id": "GEB.5.4_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Betriebshandbuch" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Manipulationsschutzvorkehrungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "installieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Gebäudemanagement für IT-Systeme KANN Manipulationsschutzvorkehrungen installieren." + }, + { + "id": "GEB.5.4_gdn", + "name": "guidance", + "prose": "Manipulationsschutzvorkehrungen sind physische oder technische Schutzmaßnahmen („tamper protection measures“), die darauf ausgelegt sind, unbefugte Eingriffe, Veränderungen oder Beschädigungen an IT-Systemen oder deren Infrastruktur frühzeitig zu verhindern oder zumindest erkennbar zu machen. Der Begriff „gemeinsame Arbeitsbereiche“ („shared workspaces“) umfasst Räumlichkeiten, in denen mehrere Personen, Teams oder Abteilungen gleichzeitig arbeiten, wodurch sich naturgemäß ein erhöhtes Risiko unkontrollierter Zugriffe auf technische Einrichtungen ergibt. Der Zweck dieser Anforderung liegt darin, die Integrität und Verfügbarkeit der eingesetzten Systeme zu wahren und Manipulationen vorzubeugen, die durch unbeaufsichtigte physische Zugriffe oder verdeckte Eingriffe erfolgen könnten. Ein ungeschütztes Gerät in einem frei zugänglichen Raum könnte beispielsweise durch das unbemerkte Einstecken manipulierter USB-Geräte oder das Entfernen von Netzwerkkabeln kompromittiert werden, während ein gezielter Eingriff in eine Serversteckdose zu Systemausfällen führen könnte. Eine Manipulationsschutzvorkehrung kann hier den Nachweis eines Eingriffs ermöglichen oder diesen bereits im Ansatz verhindern. Beispielsweise kann sinnvoll sein: (1) die Verwendung manipulationssicherer Gehäuse oder Gehäusesiegel, (2) der Einsatz von abschließbaren IT-Racks oder gesicherten Anschlussfeldern, (3) die Integration physischer Sensoren, die bei Gehäuseöffnung Alarmmeldungen erzeugen, oder (4) die Kennzeichnung und regelmäßige Sichtprüfung von Geräten auf Manipulationsspuren. Auch der gezielte Einbau von IT-Komponenten in erhöhten, kameragesicherten oder besonders einsehbaren Bereichen kann eine praktikable Schutzwirkung entfalten." + } + ] + }, + { + "id": "GEB.5.5", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Physische Mikrosegmentierung", + "props": [ + { + "name": "alt-identifier", + "value": "ae6ec98f-fe6f-4334-904c-9f17235c45e5" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "parts": [ + { + "id": "GEB.5.5_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Gebäudedokumentation" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine physische Mikrosegmentierung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "installieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Gebäudemanagement für IT-Systeme KANN eine physische Mikrosegmentierung installieren." + }, + { + "id": "GEB.5.5_gdn", + "name": "guidance", + "prose": "Bei der physischen Mikrosegmentierung in der Sicherheitsarchitektur geht es darum, unterschiedliche physische Grenzen innerhalb gemeinsam genutzter Einrichtungen zu schaffen, um verschiedene Sicherheitsbereiche zu isolieren und zu schützen. Dies ist besonders wichtig für Umgebungen, in denen Assets mit verschiedenen Sicherheitseigenschaften nebeneinander existieren. Bei dieser Strategie werden bauliche Maßnahmen eingesetzt, wie z. B. getrennte Eingänge, dedizierte Versorgungssysteme, Fallen, abgeschottete HLK-Anlagen, physisch getrennte Netzwerkinfrastrukturen und zugangskontrollierte Zonen, um die seitliche Bewegung von Bedrohungen zu verhindern und gleichzeitig die Einhaltung von Vorschriften zu gewährleisten. Zu den üblichen Anwendungen gehören Bürogebäude mit mehreren Mietparteien, in denen verschiedene Institutionen eine Trennung benötigen, Colocation-Rechenzentren mit kundenspezifischer Geräteisolierung, gemeinsam genutzte Regierungseinrichtungen mit unterschiedlichen Klassifizierungsanforderungen und Campus-Umgebungen, in denen miteinander verbundene Gebäude unterschiedliche Sicherheitsperimeter aufrechterhalten müssen - all dies unterstützt ein umfassendes Risikomanagement und die Eindämmung von Vorfällen. Maßnahmen können z.B. intelligenten Schlössern an Käfigtüren und Sensoren an den Seitenwänden von Serverracks sein." + } + ] + } + ] + }, + { + "id": "GEB.6", + "title": "Platzierung von Assets", + "props": [ + { + "name": "label", + "value": "6" + }, + { + "name": "alt-identifier", + "value": "038aa0ae-dd86-495f-8f15-dcf25c708bfb" + } + ], + "controls": [ + { + "id": "GEB.6.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Zugang zu Ausgabesystemen", + "props": [ + { + "name": "alt-identifier", + "value": "9c8e26af-7fd2-4a30-ac89-232a0bc418a1" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + } + ], + "parts": [ + { + "id": "GEB.6.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Gebäudedokumentation" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "den Zugang zu nicht-öffentlichen Ausgabesystemen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "einschränken" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Gebäudemanagement für IT-Systeme SOLLTE den Zugang zu nicht-öffentlichen Ausgabesystemen einschränken." + }, + { + "id": "GEB.6.1_gdn", + "name": "guidance", + "prose": "Ausgabesysteme sind z.B. Monitore oder Drucker. Nicht-öffentlich sind diese, wenn darauf schützenswerte Inhalte ausgegeben werden, z.B. Arbeitsplätze von internen Sachbearbeitern, Netzdrucker der Personalabteilung." + } + ] + }, + { + "id": "GEB.6.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Geschützte Aufstellung", + "props": [ + { + "name": "alt-identifier", + "value": "4bd461c1-265d-4823-8b2c-4c435af0943a" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "GEB.6.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Gebäudedokumentation" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "diese geschützt vor dem Zugriff von Unbefugten" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "platzieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Gebäudemanagement für IT-Systeme SOLLTE diese geschützt vor dem Zugriff von Unbefugten platzieren." + }, + { + "id": "GEB.6.2_gdn", + "name": "guidance", + "prose": "„Unbefugter Zugriff“ bedeutet in diesem Kontext jeder physische Zutritt oder jede Manipulation durch Personen, die keine rechtmäßige Berechtigung für die Nutzung, Wartung oder Überwachung dieser Systeme besitzen. Der Sinn und Zweck dieser Vorgabe liegt im Schutz vor Verlust, Manipulation oder Unterbrechung des Betriebs durch unkontrollierte physische Einwirkungen. Ohne geeignete Schutzmaßnahmen könnte ein unbefugter Dritter Systeme entwenden, manipulieren oder absichtlich beschädigen; ebenso könnte durch unkontrollierten Zutritt das Risiko von Stromausfällen oder Fehlbedienungen entstehen. Eine angemessene bauliche Platzierung kann hingegen sicherstellen, dass nur autorisierte Personen Zugang erhalten und die Verfügbarkeit sowie Integrität der Systeme langfristig gewährleistet bleibt. Eine Umsetzung kann durch baulich-technische Maßnahmen wie verschließbare Serverschränke mit dokumentierter Schlüsselverwaltung oder den Einsatz von Zugangskontrollen mit elektronischen Schließsystemen erfolgen." + } + ], + "controls": [ + { + "id": "GEB.6.2.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Hostsysteme", + "props": [ + { + "name": "alt-identifier", + "value": "25dfb04d-3274-446e-9bb0-f2fb1a2e511a" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "GEB.6.2.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Hostsysteme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Gebäudedokumentation" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "diese ausschließlich in Serverräumen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "platzieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Gebäudemanagement für Hostsysteme SOLLTE diese ausschließlich in Serverräumen platzieren." + }, + { + "id": "GEB.6.2.1_gdn", + "name": "guidance", + "prose": "Sinn und Zweck dieser Anforderung liegt darin, die Risiken durch unkontrollierten physischen Zugriff oder Umwelteinflüsse zu reduzieren: Ohne räumliche Trennung könnte ein Mitarbeiter versehentlich gegen ein frei im Büro aufgestelltes Hostsystem stoßen und es beschädigen, oder ein Besucher könnte unbemerkt Manipulationen vornehmen. Durch Platzierung in einem Serverraum kann hingegen erreicht werden, dass Geräte vor unbefugtem Zugriff geschützt sind und kontrollierte Umgebungsbedingungen wie Temperatur oder Luftfeuchtigkeit den zuverlässigen Betrieb fördern. Praktisch kann es hilfreich sein, Hostsysteme in standardisierten Serverschränken unterzubringen, die zusätzlich verschließbar sind, und regelmäßig zu prüfen, ob keine Fremdgeräte unautorisiert im Serverraum abgestellt wurden. Auf diese Weise kann die Institution sicherstellen, dass Hostsysteme physisch geschützt und unter stabilen Betriebsbedingungen betrieben werden." + } + ] + } + ] + }, + { + "id": "GEB.6.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Netzkomponenten", + "props": [ + { + "name": "alt-identifier", + "value": "525d2727-f932-4f27-bffc-7a8104194bc8" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "GEB.6.3_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Netze" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Gebäudedokumentation" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "für die Funktionsfähigkeit des Netzes erforderliche Systeme ausschließlich in Räumen für technische Infrastruktur" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "platzieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Gebäudemanagement für Netze SOLLTE für die Funktionsfähigkeit des Netzes erforderliche Systeme ausschließlich in Räumen für technische Infrastruktur platzieren." + }, + { + "id": "GEB.6.3_gdn", + "name": "guidance", + "prose": "„Für die Funktionsfähigkeit des Netzes erforderliche Systeme“ sind in diesem Kontext alle physischen und logischen Komponenten, deren Betrieb direkt die Verfügbarkeit, Integrität oder Steuerbarkeit von Netzwerken beeinflusst — etwa aktive Netzwerkkomponenten (engl. network devices) wie Router, Switches, Firewalls oder Netzwerkmanagementsysteme (engl. Network Management Systems, NMS). Die Definition von „Räumen für technische Infrastruktur“ ist in den Definitionen für Zielobjekte zu finden. Diese Räume sind typischerweise mit einer kontrollierten physischen Zugangsbeschränkung, Klimatisierung, Brandfrüherkennung und einer stabilen Stromversorgung (z. B. über USV-Anlagen) ausgestattet. Die Anforderung gewährleistet somit, dass netzkritische Systeme räumlich von allgemeinen Arbeits- oder Aufenthaltsbereichen getrennt sind, um deren Sicherheit und Stabilität zu gewährleisten." + } + ] + }, + { + "id": "GEB.6.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Normgerechte Rechenzentren", + "params": [ + { + "id": "geb.6.4-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "280b1dd1-f839-473f-8e71-3cd871fc55b1" + } + ], + "label": "einer anerkannten Norm" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "280b1dd1-f839-473f-8e71-3cd871fc55b1" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "parts": [ + { + "id": "GEB.6.4_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Serverräume" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Gebäudedokumentation" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "diese ausschließlich in Rechenzentren" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "nach {{einer anerkannten Norm}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "platzieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Gebäudemanagement für Serverräume KANN diese ausschließlich in Rechenzentren nach {{ insert: param, geb.6.4-prm1 }} platzieren." + }, + { + "id": "GEB.6.4_gdn", + "name": "guidance", + "prose": "Rechenzentren entsprechen einer anerkannten Norm, wenn sie nach den einschlägigen technischen, sicherheitsrelevanten und organisatorischen Standards für Rechenzentren errichtet und erhalten werden, wie sie etwa in ISO/IEC 22237, EN 50600 oder vergleichbaren Vorgaben beschrieben sind. In der Fachsprache wird häufig von „compliant data centers“ gesprochen. Solche Rechenzentren verfügen über definierte Schutzklassen hinsichtlich physischer Sicherheit, Energieversorgung, Klimatisierung, Brandfrüherkennung und Zutrittskontrolle. Sie gewährleisten kontrollierte Umgebungsbedingungen und eine hohe Verfügbarkeit (Availability Class) für serverbasierte IT-Systeme. Die Platzierung von Serverräumen ausschließlich in diesen Umgebungen kann sicherstellen, dass physische und infrastrukturelle Risiken minimiert werden, etwa durch den Wegfall von unsicheren Eigenbauten oder provisorischen Standorten. Der Zweck dieser Vorgabe liegt in der Risikoreduktion durch Standardisierung und geprüfte baulich-technische Schutzmaßnahmen. Ohne solche Umgebungen könnte beispielsweise ein Stromausfall, eine unzureichende Klimatisierung oder ein lokaler Brand unbemerkt zum Ausfall kritischer Systeme führen, während ein unzureichend gesicherter Standort auch unbefugten physischen Zugriff ermöglichen könnte. Die Nutzung normgerechter Rechenzentren kann demgegenüber die Verfügbarkeit und Integrität der Systeme erhöhen, da Ausfälle und Umwelteinflüsse frühzeitig erkannt und kontrolliert behandelt werden können. Eine Institution kann dies etwa durch die Unterbringung ihrer Server in einem zertifizierten Colocation-Rechenzentrum (z. B. ISO/IEC 27001 und EN 50600-konform), durch die Nutzung eines Tier III- oder Tier IV-Datacenters nach Uptime Institute-Standard oder durch den Umzug bestehender Systeme in eine baulich und betrieblich geprüfte Hosting-Umgebung umsetzen." + } + ] + } + ] + }, + { + "id": "GEB.7", + "title": "Schlüsselverwaltung", + "props": [ + { + "name": "label", + "value": "7" + }, + { + "name": "alt-identifier", + "value": "9d651c54-5613-407c-a035-abe0039cf0fe" + } + ], + "controls": [ + { + "id": "GEB.7.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Schlüsselbeauftragte", + "params": [ + { + "id": "geb.7.1-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "989b0846-7561-4d14-99d0-ce46a749cde0" + } + ], + "label": "zuständigen Personen oder Rollen" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "989b0846-7561-4d14-99d0-ce46a749cde0" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "GEB.7.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Standorte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Geschäftsverteilungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Verwaltung von Schlüsseln" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{zuständigen Personen oder Rollen}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "zuweisen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Gebäudemanagement für Standorte SOLLTE die Verwaltung von Schlüsseln {{ insert: param, geb.7.1-prm1 }} zuweisen." + }, + { + "id": "GEB.7.1_gdn", + "name": "guidance", + "prose": "Bei der Verwaltung von Schlüsseln werden physische Schlüssel und digitale Zugangsmittel wie RFIDs für Gebäude, Räume oder Schränke ausgegeben, zurückgenommen und deren Nutzung dokumentiert. Mögliche Ausprägungen für zuständige Personen oder Rollen können (1) Facility-Management, (2) IT-Sicherheitsbeauftragte, (3) Empfangs- oder Pförtnerdienste oder (4) ein zentrales Schlüsselmanagement-Team sein. Der Zweck der Vorschrift liegt darin, Risiken durch unkontrollierte Schlüsselvergabe zu reduzieren. Ohne klare Zuweisung könnte es zu unbefugtem Zutritt, Diebstahl oder Manipulation an kritischen Bereichen kommen. Durch eine geregelte Schlüsselverwaltung kann hingegen nachvollziehbar und kontrolliert gesteuert werden, wer physischen Zugang zu sicherheitsrelevanten Bereichen erhält. Zur Umsetzung können Institutionen (1) Schlüssellisten auf Papier oder in Form einer Berechtigungsmatrix führen, die regelmäßig gepflegt und abgeglichen wird, (2) Reserveschlüssel zentral und sicher verwahren, damit im Verlustfall ein geregelter Ersatz möglich ist, und (3) sicherstellen, dass nicht mehr benötigte Schlüssel zeitnah zurückgenommen und dokumentiert werden. Technisch kann die Verwaltung durch nummerierte Schlüsselanhänger oder anonymisierte Kennzeichnungen unterstützt werden, sodass keine Rückschlüsse auf den Einsatzort möglich sind. Auch ein einfaches Verfahren, bei dem die Rücknahme von Schlüsseln mit Datum und Unterschrift bestätigt wird, kann Transparenz schaffen und spätere Unklarheiten verhindern." + } + ] + }, + { + "id": "GEB.7.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Verwahrung von Schlüsseln", + "props": [ + { + "name": "alt-identifier", + "value": "b4af7248-ff08-4cb7-99b5-cd5f589ec1df" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + } + ], + "parts": [ + { + "id": "GEB.7.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Standorte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Arbeitsanweisung" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "zur Verwahrung von Schlüsseln" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "anweisen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Gebäudemanagement für Standorte SOLLTE zur Verwahrung von Schlüsseln anweisen." + }, + { + "id": "GEB.7.2_gdn", + "name": "guidance", + "prose": "Eine Verwahrung ist eine Aufbewahrung von Zugangssschlüsseln derart, dass Unbefugte keinen Zugriff hierauf haben. Dies kann durch das Mitführen der Schlüssel, oder durch eine verschlossene Aufbewahrung, z.B. in einem Schlüsselschrank, umgesetzt werden." + } + ] + }, + { + "id": "GEB.7.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Schlüsselaudit", + "params": [ + { + "id": "geb.7.3-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "97d89e25-dbe3-4da7-bcfb-07537a05d6bf" + } + ], + "label": "regelmäßig" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "97d89e25-dbe3-4da7-bcfb-07537a05d6bf" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "GEB.7.3_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Standorte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Übungs- und Prüfplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die vorhandenen Schlüssel" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{regelmäßig}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überprüfen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Gebäudemanagement für Standorte SOLLTE die vorhandenen Schlüssel {{ insert: param, geb.7.3-prm1 }} überprüfen." + }, + { + "id": "GEB.7.3_gdn", + "name": "guidance", + "prose": "Ohne eine solche Kontrolle könnten z. B. verlorene, vergessene oder unregistrierte Schlüssel im Umlauf bleiben, was zu einem unerkannten Sicherheitsrisiko führt. Ein Vorfall könnte darin bestehen, dass ein ehemaliger externer Dienstleister noch Zugang zu Räumen hat, in denen vertrauliche Unterlagen oder wertvolle Geräte aufbewahrt werden, oder dass ein entwendeter Schlüssel später unbemerkt für Einbruch und Diebstahl genutzt wird. Praktisch kann eine Institution dies umsetzen, indem sie ein aktuelles Schlüsselinventar führt und dieses in festgelegten Abständen mit den tatsächlich im Umlauf befindlichen Schlüsseln abgleicht. Sinnvoll ist auch, bei der Überprüfung nicht nur auf Vollständigkeit, sondern auf Plausibilität zu achten – beispielsweise ob Schlüssel für inzwischen nicht mehr genutzte Räume weiterhin im Umlauf sind. Bei normalen Schutzbedarf genügt eine stichprobenartige Kontrolle, Schlüssel mit höherem Schutzbedarf (z.B. für Sicherheitsbereiche) dagegen bedürfen in der Regel einer häufigeren, vollständigen Kontrolle." + } + ] + } + ] + }, + { + "id": "GEB.8", + "title": "Verwahrung von Speichermedien", + "props": [ + { + "name": "label", + "value": "8" + }, + { + "name": "alt-identifier", + "value": "bce6496a-7e16-411d-84ab-ee463207689e" + } + ], + "controls": [ + { + "id": "GEB.8.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Gesonderte Aufbewahrung", + "props": [ + { + "name": "alt-identifier", + "value": "fa8a00b9-9190-44f2-875a-68024ff491bd" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + } + ], + "parts": [ + { + "id": "GEB.8.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Standorte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Gebäudedokumentation" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "geschäftskritische Speichermedien in verschließbaren Schutzeinrichtungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "platzieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Gebäudemanagement für Standorte SOLLTE geschäftskritische Speichermedien in verschließbaren Schutzeinrichtungen platzieren." + }, + { + "id": "GEB.8.1_gdn", + "name": "guidance", + "prose": "Vertrauliche Speichermedien, die ungesichert herumliegen (sowohl analoge Dokumente als auch digitale Datenträger) sind ein leichtes Ziel für Diebstahl und können versehentlich verloren gehen oder beschädigt werden; eine angemessene Sicherung erfolgt durch Aufbewahrung in abschließbaren Schränken, in Safes oder in dedizierten, gesicherten Räumlichkeiten, wobei die Anforderung auch dann als erfüllt gilt, wenn ein fest verbautes Behältnis genutzt wird, beispielsweise ein Safe-Raum." + } + ], + "controls": [ + { + "id": "GEB.8.1.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Archiv", + "props": [ + { + "name": "alt-identifier", + "value": "59be69ee-346c-4a89-b93d-558cfd50f57f" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Langzeitarchivierung" + } + ], + "parts": [ + { + "id": "GEB.8.1.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Standorte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Gebäudedokumentation" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "geschäftskritische Speichermedien in Datenträgerarchiven" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "platzieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Gebäudemanagement für Standorte KANN geschäftskritische Speichermedien in Datenträgerarchiven platzieren." + }, + { + "id": "GEB.8.1.1_gdn", + "name": "guidance", + "prose": "Geschäftskritische Datenträger lagern in gesicherten, klimatisierten Archiven mit Zugriffskontrolle, Brandschutz und nachvollziehbarer Aus-/Rückgabedokumentation." + } + ] + } + ] + }, + { + "id": "GEB.8.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Staub und Schmutz", + "props": [ + { + "name": "alt-identifier", + "value": "219884d2-ef52-4103-bd5f-b5d76bab03d7" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Langzeitarchivierung" + } + ], + "parts": [ + { + "id": "GEB.8.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Datenträgerarchiv" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Maßnahmen zum Schutz der Datenträger vor Staub und Schmutz" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Gebäudemanagement für Datenträgerarchiv KANN Maßnahmen zum Schutz der Datenträger vor Staub und Schmutz verankern." + }, + { + "id": "GEB.8.2_gdn", + "name": "guidance", + "prose": "Werden analoge und digitale Datenträger länger im Archiv aufbewahrt, so besteht das Risiko der schleichenden Zersetzung durch Staub und Schmutz. Maßnahmen sind z.B. staubdichte und antistatische Lagerung in Schutzschränken, Klimatisierung, Schutzkleidung, trockene Reinigung." + } + ] + }, + { + "id": "GEB.8.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Schutz der Datenträger vor Brandschäden", + "params": [ + { + "id": "geb.8.3-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "7fa6a340-5f12-41a3-b9df-a44dfcc6e0be" + } + ], + "label": "einem anerkannten Standard" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "7fa6a340-5f12-41a3-b9df-a44dfcc6e0be" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Langzeitarchivierung" + } + ], + "parts": [ + { + "id": "GEB.8.3_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Standorte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Gebäudedokumentation" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "feuerfeste Behältnisse" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "nach {{einem anerkannten Standard}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "installieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Gebäudemanagement für Standorte KANN feuerfeste Behältnisse nach {{ insert: param, geb.8.3-prm1 }} installieren." + }, + { + "id": "GEB.8.3_gdn", + "name": "guidance", + "prose": "Datenträgerarchive sind bei Bränden besonders schützenswert, da hier häufig die langzeitig kritischen Daten gelagert werden. Kann durch Brandschutzschränke oder Datensafes umgesetzt werden, die nach DIN EN 1047-1 oder ISO 11799 zertifiziert sind." + } + ] + }, + { + "id": "GEB.8.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Überwachung schonender Klimatisierung", + "params": [ + { + "id": "geb.8.4-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "b76d96fa-3c33-470e-a624-1fe1aff44cc9" + } + ], + "label": "Schwellwerten" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "b76d96fa-3c33-470e-a624-1fe1aff44cc9" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Langzeitarchivierung" + } + ], + "parts": [ + { + "id": "GEB.8.4_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Datenträgerarchiv" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "für die Datenträger schonende Temperatur und Luftfeuchtigkeit" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "anhand von {{Schwellwerten}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überwachen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Gebäudemanagement für Datenträgerarchiv KANN für die Datenträger schonende Temperatur und Luftfeuchtigkeit anhand von {{ insert: param, geb.8.4-prm1 }} überwachen." + }, + { + "id": "GEB.8.4_gdn", + "name": "guidance", + "prose": "IT-Infrastruktur benötigt typischerweise eine Umwelttemperatur von nicht viel mehr als 25°C und eine Luftfeuchtigkeit von nicht über 60%. Bei höheren Werten altern Komponenten schneller und das Risiko von Ausfällen durch Abwärme oder Spannungsüberschläge steigt. Grenzwerte können anhand der Herstellerangaben der im Raum eingesetzten Datenträger ermittelt werden. Die Überwachung kann mit klimatechnischen Sensoren im Raum realisiert werden." + } + ] + } + ] + }, + { + "id": "GEB.9", + "title": "Versorgungseinrichtungen", + "props": [ + { + "name": "label", + "value": "9" + }, + { + "name": "alt-identifier", + "value": "846b6374-b374-4f2f-8088-84695b2bcb05" + } + ], + "controls": [ + { + "id": "GEB.9.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Normgerechte Stromversorgung", + "props": [ + { + "name": "alt-identifier", + "value": "30ed7bd0-4d41-4bc3-880d-cc0e66fd592e" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "GEB.9.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Standorte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Gebäudedokumentation" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine norm- und bedarfsgerechte Stromversorgung und -verkabelung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "installieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Gebäudemanagement für Standorte SOLLTE eine norm- und bedarfsgerechte Stromversorgung und -verkabelung installieren." + }, + { + "id": "GEB.9.1_gdn", + "name": "guidance", + "prose": "Eine Stromversorgung ist normgerecht, wenn Normen zur Bereitstellung und Verkabelung wie DIN VDE 0100 eingehalten werden. Bedarfsgerecht ist eine Stromversorgung, wenn sie den Strombedarf der IT-Systeme und anderen Geräte im Gebäude deckt und Reserven für Erweiterungen oder Notfälle bietet. Das betrifft sowohl zentrale Versorgungsanschlüsse, Unterverteilungen als auch die Zuleitung in die einzelnen Räume. Die Anforderung ist auch dann erfüllt, wenn eine den Compliance-Vorschriften für Strom entsprechende Versorgung bereits im Gebäude vorhanden ist. Im Fall von Rechenzentren ist auch auf die Möglichkeit der Notabschaltung der Stromversorgung (für einzelne elektrische Verbraucher) zu achten. Hier ist eine sinnvolle Parzellierung und Zielgerichtetheit bei der Notabschaltung von Bedeutung." + } + ], + "controls": [ + { + "id": "GEB.9.1.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Vorausschauende Lastanalyse", + "params": [ + { + "id": "geb.9.1.1-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "a73bc9c8-bd58-4816-9e18-d41e94c20341" + } + ], + "label": "regelmäßig" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "a73bc9c8-bd58-4816-9e18-d41e94c20341" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "parts": [ + { + "id": "GEB.9.1.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Standorte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Übungs- und Prüfplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die bedarfsgerechte Stromversorgung" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{regelmäßig}} vorausschauend" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überprüfen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Gebäudemanagement für Standorte KANN die bedarfsgerechte Stromversorgung {{ insert: param, geb.9.1.1-prm1 }} vorausschauend überprüfen." + }, + { + "id": "GEB.9.1.1_gdn", + "name": "guidance", + "prose": "Die prädiktive Lastanalyse in Stromversorgungssystemen bezieht sich auf die ausgefeilte Analyse von elektrischen Lastmustern, einschließlich Oberschwingungen der Stromqualität, um den zukünftigen Stromverbrauch und Qualitätsprobleme vorherzusagen, bevor sie auftreten. Sie kann in Bereichen, in denen die Stromversorgung von höchster Bedeutung ist, helfen, die kontinuierliche Verfügbarkeit der IT-Infrastruktur durch Überwachung und Vorhersage potenzieller Stromanomalien sicherzustellen, die die Systemintegrität gefährden könnten. Im Gegensatz zu reaktiven Ansätzen, die Probleme erst nach ihrem Auftreten angehen, werden bei der vorausschauenden Lastanalyse fortschrittliche Algorithmen zur Analyse historischer Stromverbrauchsdaten, harmonischer Verzerrungen und Spannungsschwankungen eingesetzt, um Muster zu erkennen, die auf bevorstehende Stromversorgungsprobleme hinweisen. Die Implementierung kann mit Netzqualitätsanalysatoren an kritischen Infrastrukturpunkten, Integration mit SCADA-Systemen und durch Analyse mit Algorithmen des maschinellen Lernens, die Netzanomalien mit bestimmten Betriebsbedingungen korrelieren, geschehen. Eine regelmäßige Validierung der Vorhersagemodelle anhand tatsächlicher Vorfälle hilft die Analyse zu verbessern, während die Integration mit automatisierten Energieverwaltungssystemen einen dynamischen Lastausgleich während vorhergesagter Stressperioden ermöglichen kann, wodurch sowohl die Stromqualität, als auch die Systemverfügbarkeit ohne menschliches Eingreifen aufrechterhalten werden." + } + ] + }, + { + "id": "GEB.9.1.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Dedizierte Elektrounterverteilung", + "props": [ + { + "name": "alt-identifier", + "value": "59df8c81-694d-4612-a439-63deaee5c4d9" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Hochverfügbarkeit" + } + ], + "parts": [ + { + "id": "GEB.9.1.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Standorte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Gebäudedokumentation" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine ausschließlich für diesen Standort bestimmte Elektrounterverteilung" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die direkt von der Niederspannungshauptverteilung (NSHV) versorgt wird" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "installieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Gebäudemanagement für Standorte KANN eine ausschließlich für diesen Standort bestimmte Elektrounterverteilung die direkt von der Niederspannungshauptverteilung (NSHV) versorgt wird installieren." + }, + { + "id": "GEB.9.1.2_gdn", + "name": "guidance", + "prose": "Eine eigene, direkt aus der NSHV gespeiste Unterverteilung trennt kritische Abgänge (IT/USV/Kälte), stellt Selektivität und eindeutige Kennzeichnung sicher, ermöglicht Zustandsüberwachung und hält Ausbaureserven vor." + } + ] + }, + { + "id": "GEB.9.1.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Redundante Stromversorgung", + "params": [ + { + "id": "geb.9.1.3-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "eeaa8977-05e5-4eaa-a5b7-ea490eb543cd" + } + ], + "label": "eine Stützzeit" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "eeaa8977-05e5-4eaa-a5b7-ea490eb543cd" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Hochverfügbarkeit" + } + ], + "parts": [ + { + "id": "GEB.9.1.3_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Standorte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine redundante Stromversorgung" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "für {{eine Stützzeit}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "installieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Gebäudemanagement für Standorte KANN eine redundante Stromversorgung für {{ insert: param, geb.9.1.3-prm1 }} installieren." + }, + { + "id": "GEB.9.1.3_gdn", + "name": "guidance", + "prose": "Wenn die Stromzufuhr ausfällt, könnten geschäftskritische Anwendungen unerwartet ausfallen oder Daten verlorengehen. Die Redundanz der Stromquelle kann z.B. durch einen im System integrierten Akku, durch eine eigenständige unterbrechungsfreie Stromversorgung (USV) oder durch die Anbindung an ein sekundäres Stromnetz gewährleistet werden. Bei Bedarf kann sie auch die Übergangszeit bis zum Anlauf einer längerfristigen Netzersatzanlage überbrücken. Beim Betrieb einer USV ist auf die Einhaltung eines akzeptablen Temperaturbereichs der Batterie zu achten. Bei relevanten Änderungen an den Verbrauchern könnte es vorkommen, dass die USV-Systeme nicht mehr ausreichend dimensioniert sind. Da der Leistungsbedarf von Klimaanlagen oft zu hoch für eine USV ist, empfiehlt es sich zumindest die Steuerung der Anlagen an die unterbrechungsfreie Stromversorgung anzuschließen. Eine regelmäßige Wartung (u.U. nach Vorgabe des Herstellers) der USV und eine Trennung der Leistungselektronik von der Batterie ist empfohlen. Bei sehr hohem Schutzbedarf empfiehlt sich eine redundante Auslegung der USV. Die minimale Stützzeit (Autonomiezeit) ergibt sich als Stützzeit = Wartezeit auf mögliche Wiederkehr der Stromversorung + 2 * Zeit zum Herunterfahren der Komponenten. Bei sehr hohem Schutzbedarf empfiehlt sich eine redundante Auslegung der USV. Die Verkabelungswege sind redundant, wenn die Leitungen über verschiedene Wege geführt sind, sodass z.B. eine versehentliche Trennung nicht beide Leitungen betrifft." + } + ] + }, + { + "id": "GEB.9.1.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Langanhaltende Sekundärversorgung", + "params": [ + { + "id": "geb.9.1.4-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "9de758ff-88f1-4350-b937-354a5e4e5fc5" + } + ], + "label": "eine längere Stützzeit" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "9de758ff-88f1-4350-b937-354a5e4e5fc5" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Hochverfügbarkeit" + } + ], + "parts": [ + { + "id": "GEB.9.1.4_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Standorte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine redundante Stromversorgung" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "für {{eine längere Stützzeit}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "installieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Gebäudemanagement für Standorte KANN eine redundante Stromversorgung für {{ insert: param, geb.9.1.4-prm1 }} installieren." + }, + { + "id": "GEB.9.1.4_gdn", + "name": "guidance", + "prose": "Eine längere Stützzeit bezeichnet im Kontext der Stromversorgung die Fähigkeit, elektrische Energie über einen Zeitraum von mehreren Stunden oder sogar Tagen aufrechtzuerhalten, typischerweise durch den Einsatz einer Netzersatzanlage (NEA) oder vergleichbarer Infrastruktur. Während eine kurzzeitige Überbrückung durch unterbrechungsfreie Stromversorgungen (USV) lediglich Sekunden bis Minuten abdeckt, kann eine NEA längere Stromausfälle abfangen und die Betriebsfähigkeit kritischer Systeme dauerhaft sicherstellen. Risiken bestehen darin, dass ein Standort bei einem längerfristigen Netzausfall ohne redundante Stromversorgung seine sicherheitskritischen Prozesse nicht mehr betreiben könnte, was etwa zu Datenverlusten, Produktionsstillständen oder Ausfällen der Zutrittskontrolle führen könnte. Eine redundante Stromversorgung kann dem entgegenwirken, indem sie kritische Infrastrukturen wie Rechenzentren, Kommunikationssysteme oder Zutrittssysteme auch bei großflächigen Netzstörungen handlungsfähig hält. Zur Betriebsfähigkeit gehört auch die regelmäßige Wartung und Überprüfung des Betriebsmittelvorrats. Eine Institution kann die Anforderung umsetzen, indem sie geeignete technische Maßnahmen einplant: (1) Installation einer Netzersatzanlage mit automatischer Umschaltung auf Diesel- oder Gasgeneratoren, (2) Bereitstellung von Kraftstoffvorräten für eine definierte Stützzeit von beispielsweise 24, 48 oder 72 Stunden, (3) regelmäßige Lasttests, um sicherzustellen, dass die Anlage die notwendige Kapazität unter Realbedingungen liefern kann. Ergänzend kann eine Institution durch redundante Einspeisungen vom Energieversorger oder die Kombination mehrerer NEA-Module eine Ausfallsicherheit erhöhen. Prozessual kann sie Wartungspläne etablieren, die auch die Prüfung von Kraftstoffqualität, Starterbatterien und Umschalteinrichtungen umfassen. Praktische Umsetzungstipps sind etwa, NEA-Anlagen in geschützten Gebäudebereichen mit ausreichender Belüftung und Brandschutz vorzusehen, die Abgasführung nach außen zu gewährleisten und einen sicheren, vor Manipulation geschützten Tankstandort zu wählen." + } + ] + } + ] + }, + { + "id": "GEB.9.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Lasttest", + "params": [ + { + "id": "geb.9.2-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "56b79b13-09ed-4d7a-adea-bc8cb2cf97dd" + } + ], + "label": "regelmäßig" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "56b79b13-09ed-4d7a-adea-bc8cb2cf97dd" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "parts": [ + { + "id": "GEB.9.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Standorte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Übungs- und Prüfplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Belastbarkeit der Stromversorgung" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{regelmäßig}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überprüfen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Gebäudemanagement für Standorte KANN die Belastbarkeit der Stromversorgung {{ insert: param, geb.9.2-prm1 }} überprüfen." + }, + { + "id": "GEB.9.2_gdn", + "name": "guidance", + "prose": "Die Maßnahmen richten sich nach den geltenden Anforderungen an die Stromversorgung. Beispiele sind ein monatlicher USV-Selbsttest oder ein halbjährlicher Volllastbetrieb des Generators für mindestens 30 Minuten." + } + ] + }, + { + "id": "GEB.9.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Notaus", + "props": [ + { + "name": "alt-identifier", + "value": "1520f194-770f-4da5-9ac8-1094105e2d80" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "parts": [ + { + "id": "GEB.9.3_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Standorte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Gebäudedokumentation" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine Notausschaltung für die Versorgungseinrichtungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "installieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Gebäudemanagement für Standorte KANN eine Notausschaltung für die Versorgungseinrichtungen installieren." + }, + { + "id": "GEB.9.3_gdn", + "name": "guidance", + "prose": "Eine Notausschaltung bezeichnet in diesem Kontext eine zentral verfügbare, technisch implementierte Vorrichtung, mit der im Gefahrenfall die Energieversorgung kritischer Versorgungseinrichtungen wie Strom, Gas oder Klimaanlagen unmittelbar und vollständig unterbrochen werden kann. Der Sinn und Zweck einer solchen Einrichtung liegt darin, Gefahren für Menschen, Technik und Informationen schnell eingrenzen zu können: Ein unkontrollierter Brand könnte sich durch weiterlaufende Klimageräte verstärken, ein Stromschlag durch beschädigte Leitungen könnte Menschen gefährden, oder ein Wasserschaden durch defekte Kühlung könnte weitere Systeme zerstören. Gleichzeitig kann eine sofortige Unterbrechung der Energiezufuhr Folgeschäden eindämmen, indem Brandlast reduziert oder die Ausbreitung toxischer Gase verhindert werden kann. Zur Umsetzung kann eine Institution beispielsweise (1) physische Notausschalter an klar gekennzeichneten, jederzeit zugänglichen Stellen nahe den Ausgängen oder im Leitstand installieren, (2) die Schalter so konzipieren, dass sie nur für definierte Versorgungskreise wie IT-Serverräume oder Technikzonen wirken und nicht die gesamte Einrichtung unkontrolliert lahmlegen, und (3) ergänzende visuelle Hinweise oder Leitsymbole anbringen, die die Bedienung im Ernstfall erleichtern." + } + ] + }, + { + "id": "GEB.9.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Überspannungsschutz", + "props": [ + { + "name": "alt-identifier", + "value": "dc956422-730a-46c3-987b-3f2cb5ea22f3" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + } + ], + "links": [ + { + "href": "#GEB.10.4", + "rel": "related" + } + ], + "parts": [ + { + "id": "GEB.9.4_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Standorte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Gebäudedokumentation" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Überspannungsschutzeinrichtungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "installieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Gebäudemanagement für Standorte KANN Überspannungsschutzeinrichtungen installieren." + }, + { + "id": "GEB.9.4_gdn", + "name": "guidance", + "prose": "Überspannungsschutzeinrichtungen sind technische Komponenten, die elektrische und elektronische Systeme vor plötzlich auftretenden Spannungsspitzen im Stromnetz oder in Datenleitungen schützen. Sie wirken, indem sie kurzzeitig auftretende Energie in sichere Bahnen ableiten oder begrenzen, sodass angeschlossene Geräte nicht beschädigt werden. Der Sinn und Zweck liegt darin, sensible IT- und Kommunikationssysteme sowie die Infrastruktur der Institution vor Schäden zu bewahren. Ohne Schutz könnte ein Spannungssprung aus dem Stromnetz eine zentrale Serveranlage zerstören oder den Ausfall von Brandmelde- und Zutrittskontrollsystemen verursachen, wohingegen ein korrekt eingesetzter Überspannungsschutz kann die Betriebsfähigkeit und Datenintegrität sicherstellen. Diese Anforderung bezieht sich ausschließlich auf Überspannungen aus dem Netzbetrieb oder aus benachbarten Stromkreisen; für den äußeren Blitzschutz gilt eine verwandte Anforderung. Zur Umsetzung können an kritischen Punkten Überspannungsschutzeinrichtungen installiert werden: (1) in zentralen Verteilungen, um das gesamte Gebäude gegen Netzstörungen abzusichern, (2) in Unterverteilungen oder einzelnen Stromkreisen, die besonders sensible IT-Systeme versorgen, und (3) an Kommunikations- oder Datenleitungen, etwa für Netzwerk- oder Telefonverkabelungen. Eine Institution kann durch gestufte Schutzkonzepte („Grobschutz“ im Hauptverteiler, „Feinschutz“ in Nähe der Endgeräte) eine höhere Wirksamkeit erreichen. Es kann sinnvoll sein, bei Neubauten Steckdosen mit integriertem Feinschutz vorzusehen oder bei Bestandsanlagen nachträglich modulare Schutzgeräte in die Verteilungen einzusetzen. Prozessual kann regelmäßige Prüfung der eingebauten Schutzmodule helfen, da viele Modelle nach einem Ereignis verbraucht sind und ausgetauscht werden müssen. Auch eine Dokumentation der Einbauorte kann den Überblick erleichtern und gewährleisten, dass keine kritischen Systeme ungeschützt bleiben." + } + ] + }, + { + "id": "GEB.9.5", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Strukturierte Datenverkabelung", + "props": [ + { + "name": "alt-identifier", + "value": "3324eb2a-6548-46c1-9d15-96192fdae5a9" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "GEB.9.5_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Standorte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Gebäudedokumentation" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine norm- und bedarfsgerechte Datenverkabelung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "installieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Gebäudemanagement für Standorte SOLLTE eine norm- und bedarfsgerechte Datenverkabelung installieren." + }, + { + "id": "GEB.9.5_gdn", + "name": "guidance", + "prose": "Normgerecht ist eine Datenverkabelung, wenn Normen für Verkabelungssysteme wie DIN EN 50173 und DIN EN 50174, sowie bei Glasfaser DIN EN 60794 eingehalten werden. Sie ist auch bedarfsgerecht, wenn die verwendete Verkabelung ausreicht, um festgelegte Bandbreite und Antwortzeit zu erreichen. Das betrifft sowohl zentrale Netzanschlüsse, als auch Unterverteiler und die Zuleitung in die einzelnen Räume. Zur Umsetzung ist es sinnvoll ein Kabelverlegungsdiagramm und eine standortspezifische Inspektionscheckliste zu erstellen oder erstellen zu lassen." + } + ], + "controls": [ + { + "id": "GEB.9.5.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Physisch geschützte Verlegung", + "props": [ + { + "name": "alt-identifier", + "value": "71c569f6-99e4-4fd4-8648-84b9c8a0539e" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "GEB.9.5.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Standorte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Gebäudedokumentation" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine geschützte Kabelverlegung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "installieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Gebäudemanagement für Standorte SOLLTE eine geschützte Kabelverlegung installieren." + }, + { + "id": "GEB.9.5.1_gdn", + "name": "guidance", + "prose": "Freigelegte Glasfaser- oder Kupferleitungen könnten angezapft oder durchtrennt werden. Die Implementierung kann z.B. Erfolgen durch: Das Verlegen von Backbone-Kabeln in Metallrohren oder verschlossenen Kabelschränken; manipulationssichere Siegel an Stellen, an denen die Kabel die Sicherheitsbereiche verlassen." + } + ] + } + ] + }, + { + "id": "GEB.9.6", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Zugang zu Räumen für technische Infrastruktur", + "params": [ + { + "id": "geb.9.6-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "7260f1aa-7b3b-42aa-a4f2-c85bd8047a4b" + } + ], + "label": "für den Betrieb zuständige Personen oder Rollen" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "7260f1aa-7b3b-42aa-a4f2-c85bd8047a4b" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "GEB.9.6_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Räume für technische Infrastruktur" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Inventar Berechtigungen" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "den Zugang zu Räumen für technische Infrastruktur" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "auf {{für den Betrieb zuständige Personen oder Rollen}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "einschränken" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Gebäudemanagement für Räume für technische Infrastruktur SOLLTE den Zugang zu Räumen für technische Infrastruktur auf {{ insert: param, geb.9.6-prm1 }} einschränken." + }, + { + "id": "GEB.9.6_gdn", + "name": "guidance", + "prose": "HIerzu gehören insbesondere Versorgungsverteiler, z.B. für Netzverteilung, Frischwasser, Abwasser, Stromversorgung und andere zentrale Versorgungseinrichtungen. sind essenziell für die Einsatzfähigkeit und den Schutz des Gebäudes. Der Zugang zu diesen Verteilern kann z.B. durch Schließanlagen, Bewachung und Einbruchmeldesysteme realisiert werden." + } + ] + }, + { + "id": "GEB.9.7", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Zweckentfremdung", + "props": [ + { + "name": "alt-identifier", + "value": "efa82caa-8318-4679-a865-48cc380ac9d2" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "GEB.9.7_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Räume für technische Infrastruktur" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Arbeitsanweisung" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Verwendung der Räume zu anderen Zwecken" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "untersagen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Gebäudemanagement für Räume für technische Infrastruktur SOLLTE die Verwendung der Räume zu anderen Zwecken untersagen." + }, + { + "id": "GEB.9.7_gdn", + "name": "guidance", + "prose": "Werden Räume für technische Infrastruktur zu weiteren Zwecken, z.B. als Arbeitsplatz, Durchgangsraum oder Abstellraum genutzt, so erhöht dies das Risiko versehentlicher Schäden oder des Zugriffs Unbefugter auf die Infrastruktur." + } + ] + } + ] + }, + { + "id": "GEB.10", + "title": "Schutz vor Elementarschäden", + "props": [ + { + "name": "label", + "value": "10" + }, + { + "name": "alt-identifier", + "value": "cbe8a318-2d67-4edc-a3d6-b892498b111b" + } + ], + "controls": [ + { + "id": "GEB.10.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Klimatisierung", + "params": [ + { + "id": "geb.10.1-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "dfdda615-4afc-4889-b7a0-95c91240add7" + } + ], + "label": "Schwellwerten" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "dfdda615-4afc-4889-b7a0-95c91240add7" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "GEB.10.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Standorte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Gebäudedokumentation" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine ausreichende Klimatisierung von Räumlichkeiten" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "anhand von {{Schwellwerten}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "installieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Gebäudemanagement für Standorte SOLLTE eine ausreichende Klimatisierung von Räumlichkeiten anhand von {{ insert: param, geb.10.1-prm1 }} installieren." + }, + { + "id": "GEB.10.1_gdn", + "name": "guidance", + "prose": "Klimatisierung meint das Erzeugen und Aufrechterhalten von Temperatur und Luftfeuchtigkeit innerhalb bestimmter Schwellwerte. Zur Bestimmung der Schwellwerte können verschiedene Angaben herangezogen werden, u.a. Herstellerangaben für die am Standort betriebenen Systeme, Compliance-Vorgaben zur Arbeitsplatzsicherheit, branchenspezifische Normen und Standards (z.B. DIN EN ISO 7730), Energieeffizienzrichtlinien und Umweltvorschriften, sowie wissenschaftliche Erkenntnisse zu optimalen Arbeitsbedingungen. Die Implementierung kann umfassen: Die Gestaltung von Räumen mit klarer Trennung von Zu- und Abluftwegen, um Innenzirkulation zu vermeiden; Beseitigung von Hindernissen in kritischen Luftstromwegen; Implementierung geeigneter Einschlusslösungen für bestimmte Anwendungsfälle (z. B. heiße/kalte Servergänge oder Reinräume in der Fertigung); Optimierung der Geräteplatzierung zur Maximierung einer effizienten Luftverteilung; regelmäßige Wartung der Belüftungssysteme, einschließlich Filteraustausch und Kanalreinigung; strategische Platzierung von Ablenkblechen oder Deflektoren zur Lenkung des Luftstroms; saisonale Anpassung der HLK-Einstellungen an sich ändernde äußere Bedingungen; Einsatz drehzahlvariabler Ventilatoren und intelligenter Steuerungen, um dynamisch auf sich ändernde Lasten zu reagieren; regelmäßige Wärmebildaufnahmen, um entstehende Probleme zu erkennen. Den größen Nutzen bringt es in der Regel zunächst die größten Hindernisse zu beseitigen, sowie die Abdichtung unerwünschter Luftwege und die Optimierung der wichtigsten lufttechnischen Anlagen zu beachten. In Serverräumen empfiehlt sich oft eine gedrehte Rack-Ausrichtung, sodass die Luftzufuhr der Geräte aus kalten Gängen erfolgt, während die Abluft direkt in warmen Gänge geleitet wird, wodurch eine Rezirkulation verhindert und die Kühlung aufrechterhalten wird. Gleichzeitig verbessert diese Konfiguration die Betriebspraktikabilität durch die Positionierung der Kabelanschlüsse für einen bequemen Zugang der Techniker, ohne die Luftstrommuster zu unterbrechen." + } + ], + "controls": [ + { + "id": "GEB.10.1.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Luftstrom-Analyse", + "params": [ + { + "id": "geb.10.1.1-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "0abf44e0-ee1c-46fc-a106-fa58b1f5f245" + } + ], + "label": "regelmäßig" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "0abf44e0-ee1c-46fc-a106-fa58b1f5f245" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + } + ], + "parts": [ + { + "id": "GEB.10.1.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Serverräume" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Übungs- und Prüfplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "den Klimatisierungsbedarf anhand einer Luftstrom-Analyse" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{regelmäßig}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überprüfen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Gebäudemanagement für Serverräume KANN den Klimatisierungsbedarf anhand einer Luftstrom-Analyse {{ insert: param, geb.10.1.1-prm1 }} überprüfen." + }, + { + "id": "GEB.10.1.1_gdn", + "name": "guidance", + "prose": "Luftstromanalyse ist die systematische Bewertung von Luftbewegungsmustern zur Optimierung der Kühleffizienz und zur Vermeidung von Geräteausfällen. Dabei wird untersucht, wie die kalte Luft in der Einrichtung verteilt wird, es werden potenzielle Hotspots oder Bereiche mit Stagnation identifiziert, und es wird ein ordnungsgemäßer Wärmeaustausch durch die Überwachung der Einlass- und Auslasstemperaturen in den Serverracks sichergestellt. Zu den möglichen Methoden gehören CFD-Modelle (Computational Fluid Dynamics) zur Simulation von Luftströmungsmustern vor der Implementierung, der Einsatz von Temperatur- und Luftströmungssensoren an strategischen Stellen, Rauchtests zur visuellen Verfolgung der Luftbewegungspfade und Druckdifferenzmessungen zur Überprüfung der Integrität des Containments. Ein gut ausgeführtes Luftstrommanagement steht außerdem in direktem Zusammenhang mit geringeren Kühlkosten (oft 20-30 % Einsparungen), einer längeren Lebensdauer der Geräte und einer höheren Rechendichte pro Quadratmeter. Zu den bewährten Lösungen zur besseren Zirkulation gehören die Eingrenzung von Warm- und Kaltgängen, um eine Vermischung der Luftströme zu verhindern, die Aufrechterhaltung optimaler Rack-Einlasstemperaturen, die Sicherstellung einer angemessenen Perforation der Bodenfliesen in Doppelbodenumgebungen, die Optimierung der Serverplatzierung, um einen Bypass-Luftstrom zu vermeiden, und die Durchführung regelmäßiger Wärmebilduntersuchungen, um sich entwickelnde Probleme zu erkennen. Besonderer Aufmerksamkeit bedarf das Kabelmanagement, da eine ungeordnete Verkabelung den Luftstrom um bis zu 60 % behindern kann; ebenso ist es sinnvoll Abdeckplatten aller ungenutzten Rack-Räume abzudichten, um eine innere Zirkulation heißer Luft zu verhindern." + } + ] + }, + { + "id": "GEB.10.1.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Klimamessung", + "params": [ + { + "id": "geb.10.1.2-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "338031dd-f3c6-4245-b411-7c46852edfcb" + } + ], + "label": "Schwellwerten" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "338031dd-f3c6-4245-b411-7c46852edfcb" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "GEB.10.1.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Serverräume" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Lufttemperatur und Luftfeuchtigkeit" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "anhand von {{Schwellwerten}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überwachen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Gebäudemanagement für Serverräume SOLLTE Lufttemperatur und Luftfeuchtigkeit anhand von {{ insert: param, geb.10.1.2-prm1 }} überwachen." + }, + { + "id": "GEB.10.1.2_gdn", + "name": "guidance", + "prose": "IT-Infrastruktur benötigt typischerweise eine Umwelttemperatur von nicht viel mehr als 25°C und eine Luftfeuchtigkeit von nicht über 60%. Bei höheren Werten altern Komponenten schneller und das Risiko von Ausfällen durch Abwärme oder Spannungsüberschläge steigt. Ermitteln Sie Grenzwerte anhand der Herstellerangaben der im Raum eingesetzten Komponenten. Die Überwachung kann mit klimatechnischen Sensoren in den Geräten selbst oder im Raum realisiert werden. Eine saisonale Anpassung der Lüftungsanlagen kann erforderlich sein, insbesondere in Einrichtungen, die mit Eco-Modus arbeiten." + } + ] + }, + { + "id": "GEB.10.1.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Redundante Klimatisierung", + "props": [ + { + "name": "alt-identifier", + "value": "ab66de05-230a-46cf-9beb-29368a3768e2" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "parts": [ + { + "id": "GEB.10.1.3_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Standorte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "redundante Klimasysteme" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "installieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Gebäudemanagement für Standorte KANN redundante Klimasysteme installieren." + }, + { + "id": "GEB.10.1.3_gdn", + "name": "guidance", + "prose": "Redundant ist eine Klimatisierung, wenn alle zu ihrer Funktionsfähigkeit erforderlichen Komponenten und Anbindungen redundant sind, d.h. kein einzelner Fehlerpunkt zu einem Ausfall führen würde (Single Point of Failure)." + } + ] + } + ] + }, + { + "id": "GEB.10.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Brandschutz", + "props": [ + { + "name": "alt-identifier", + "value": "56c85ba9-d534-4b2a-b895-06b24de6ab92" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + } + ], + "parts": [ + { + "id": "GEB.10.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Standorte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Gebäudedokumentation" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Brandschutz" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "nach den entsprechenden Normen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Gebäudemanagement für Standorte SOLLTE Brandschutz nach den entsprechenden Normen verankern." + }, + { + "id": "GEB.10.2_gdn", + "name": "guidance", + "prose": "Maßnahmen können z.B. die Verwendung nicht brennbarer Baumaterialien (u.a. DIN 4102, DIN EN 13501), brandsichere Elektroinstallation, Feuerlöscher (DIN 14406), Rauchabzugsanlagen (DIN 18232) sowie Brandmelde- (DIN EN 54) und Löschanlagen (DIN EN 671) sein. Bei der Planung kann die örtliche Feuerwehr hinzugezogen werden. Gesetzliche Anforderungen hierzu sind in der Praktik Compliance zu berücksichtigen." + } + ], + "controls": [ + { + "id": "GEB.10.2.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Baulicher Brandschutz", + "props": [ + { + "name": "alt-identifier", + "value": "d2545c9e-2476-4841-a9a6-dafa9b471f1b" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "GEB.10.2.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Räume" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Gebäudedokumentation" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "bauliche Brandschutzeinrichtungen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "nach den entsprechenden Normen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "installieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Gebäudemanagement für Räume SOLLTE bauliche Brandschutzeinrichtungen nach den entsprechenden Normen installieren." + }, + { + "id": "GEB.10.2.1_gdn", + "name": "guidance", + "prose": "Relevant ist für das Brandverhalten von Bauprodukten und Bauarten die europäische Normenreihe DIN EN 13501 mit ihren sieben Klassen (A1, A2, B, C, D, E, F)." + } + ] + }, + { + "id": "GEB.10.2.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Brandabschnitte", + "props": [ + { + "name": "alt-identifier", + "value": "9bba280a-5874-46eb-bbc5-4696d3ee5ed6" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + } + ], + "parts": [ + { + "id": "GEB.10.2.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Räume" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Gebäudedokumentation" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Brandabschnitte" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "nach den entsprechenden Normen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "installieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Gebäudemanagement für Räume SOLLTE Brandabschnitte nach den entsprechenden Normen installieren." + }, + { + "id": "GEB.10.2.2_gdn", + "name": "guidance", + "prose": "Brandabschnitte sind baulich abgegrenzte Bereiche in Gebäuden, die im Brandfall verhindern sollen, dass das Feuer auf andere Bereiche übergreift. Sie werden durch feuerfeste Wände, Decken und andere raumabschließende Bauteile voneinander getrennt. Hier besteht ein enger Zusammenhang zu Compliance-Anforderungen: Größe und Anzahl von Brandabschnitten werden auch durch die Bauordnung und andere Vorschriften festgelegt, abhängig von der Nutzung und Größe des Gebäudes. Für die Informationssicherheit relevant ist darüber hinaus, ob die Auswahl der Brandabschnitte den darin befindlichen Informationen und damit verbundenen Assets ausreichenden Schutz gewährt, um deren Verfügbarkeit aufrechtzuerhalten." + } + ] + }, + { + "id": "GEB.10.2.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Rauchdichtheit", + "props": [ + { + "name": "alt-identifier", + "value": "1cccb05d-47e6-431e-8668-c70be6ec17c6" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "parts": [ + { + "id": "GEB.10.2.3_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Räume" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Gebäudedokumentation" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "alle raumbildende Teile rauchdicht" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "installieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Gebäudemanagement für Räume KANN alle raumbildende Teile rauchdicht installieren." + }, + { + "id": "GEB.10.2.3_gdn", + "name": "guidance", + "prose": "Hierunter ist zu verstehen, dass alle raumbildenden Teile (Wände, Türen und falls benötigt Fenster) rauchdicht sind." + } + ] + }, + { + "id": "GEB.10.2.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Brandwiderstandsklassen", + "params": [ + { + "id": "geb.10.2.4-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "4411c989-a51f-4aa9-8d79-e0b3fd492fb9" + } + ], + "label": "eine bestimmte Frist" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "4411c989-a51f-4aa9-8d79-e0b3fd492fb9" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "parts": [ + { + "id": "GEB.10.2.4_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Räume" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Gebäudedokumentation" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "feuerfeste Materialen für alle raumbildenden Teile" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": ", sodass sie Feuern für {{eine bestimmte Frist}} standhalten," + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "installieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Gebäudemanagement für Räume KANN feuerfeste Materialen für alle raumbildenden Teile , sodass sie Feuern für {{ insert: param, geb.10.2.4-prm1 }} standhalten, installieren." + }, + { + "id": "GEB.10.2.4_gdn", + "name": "guidance", + "prose": "Der Einsatz feuerfester Materialien für raumbildende Teile – also Wände, Decken, Türen und gegebenenfalls auch Bodenaufbauten – kann das Risiko erheblich reduzieren, dass sich ein Brand innerhalb eines Gebäudes schnell ausbreitet oder sicherheitsrelevante Bereiche in kurzer Zeit unbenutzbar werden könnten. Ohne geeignete Materialien könnte ein kleiner Kabelbrand beispielsweise binnen Minuten auf benachbarte Räume mit Servern, Schaltanlagen oder Dokumenten übergreifen und kritische Infrastruktur unbrauchbar machen. Mit feuerfesten Materialien kann eine Institution die Zeitspanne verlängern, in der Personen evakuiert, Brandbekämpfungsmaßnahmen eingeleitet oder Systeme geordnet heruntergefahren werden können. Der Begriff „feuerfest“ bedeutet im baulichen Kontext nicht absolute Unzerstörbarkeit, sondern eine definierte Widerstandsfähigkeit gegen Feuer über eine bestimmte Frist (z. B. 30, 60 oder 90 Minuten), die durch Normen wie die europäische Klassifizierung REI angegeben wird. Diese Frist beschreibt, wie lange ein Bauteil seine tragende Funktion (R), Dichtheit (E) und Wärmedämmung (I) im Brandfall aufrechterhalten kann. Zur praktischen Umsetzung können im Gebäudemanagement verschiedene Maßnahmen berücksichtigt werden: Wände und Decken können aus nicht brennbaren Baustoffen wie Beton oder speziellen Gipsfaserplatten ausgeführt werden, Türen können durch Brandschutztüren mit entsprechender Klassifizierung ersetzt werden, und Kabel- sowie Rohrdurchführungen können mit geprüften Brandschutzmanschetten oder -schotts ausgestattet werden. Auch abgehängte Decken oder Zwischenwände in Leichtbauweise können mit feuerhemmenden Platten verkleidet werden, um die Widerstandsdauer zu erhöhen. Eine Institution kann bei Umbauten oder Neubauten frühzeitig auf geprüfte Baustoffe achten und im Bestand gezielt besonders gefährdete Räume wie Serverräume, Archive oder Batterieräume nachrüsten." + } + ] + }, + { + "id": "GEB.10.2.5", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Vermeidung von Brandlasten", + "props": [ + { + "name": "alt-identifier", + "value": "3c49b485-9113-4009-a2dc-598c9d9a3f5f" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "GEB.10.2.5_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Standorte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Arbeitsanweisung" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "das ungesicherte Hinterlassen von Brandlasten" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "untersagen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Gebäudemanagement für Standorte SOLLTE das ungesicherte Hinterlassen von Brandlasten untersagen." + }, + { + "id": "GEB.10.2.5_gdn", + "name": "guidance", + "prose": "Befinden sich Brandlasten wie Kartons, brennbare Dämmstoffe, Batterien oder Holzmöbel in der Nähe (oder sogar in) Räumen für technische Infrastruktur oder zentraler Versorgungseinrichtungen, so erhöhen sich Wahrscheinlichkeit und durchschnittliches Schadensausmaß von Bränden. Dies gilt auch für das Rauchen von Zigaretten oder Zigarren. Der einzuhaltende Abstand ergibt sich aus der Größe der Brandlast und dem Schutzbedarf des Ortes von dem Abstand zu halten ist - wenn möglich ist ein Abstand von mindestens einem Zwischenraum sinnvoll." + } + ] + }, + { + "id": "GEB.10.2.6", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Brandmeldeanlagen", + "props": [ + { + "name": "alt-identifier", + "value": "92dfd98d-40ed-4854-a3d8-00a84fe77cec" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "GEB.10.2.6_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Standorte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Gebäudedokumentation" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "das Entstehen von Bränden" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überwachen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Gebäudemanagement für Standorte SOLLTE das Entstehen von Bränden überwachen." + }, + { + "id": "GEB.10.2.6_gdn", + "name": "guidance", + "prose": "Die Umsetzung kann durch Brandmeldezentralen oder dezentrale Brandmeldealarmierung erfolgen, siehe DIN EN 54 und DIN VDE 0833-2." + } + ] + }, + { + "id": "GEB.10.2.7", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Brandunterdrückung", + "props": [ + { + "name": "alt-identifier", + "value": "7520aa89-9296-4ae3-a60d-5c781dd06732" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "parts": [ + { + "id": "GEB.10.2.7_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Serverräume" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Gebäudedokumentation" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Brandunterdrückungssysteme" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "installieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Gebäudemanagement für Serverräume KANN Brandunterdrückungssysteme installieren." + }, + { + "id": "GEB.10.2.7_gdn", + "name": "guidance", + "prose": "Kann z.B. durch eine Anlage zur Sauerstoffreduktion unter 15 Volumenprozent umgesetzt werden, da Feuer sich so kaum entzünden kann. Siehe ISO 20338. Denken Sie dabei auch an den Schutz des Personals, siehe Arbeitstättenverordnung (ArbStättV)." + } + ] + }, + { + "id": "GEB.10.2.8", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Brandschutzprüfung", + "params": [ + { + "id": "geb.10.2.8-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "3b904a6b-c440-4360-ab4a-37b76fc639a7" + } + ], + "label": "regelmäßig" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "3b904a6b-c440-4360-ab4a-37b76fc639a7" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Inspektion" + } + ], + "parts": [ + { + "id": "GEB.10.2.8_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Standorte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Übungs- und Prüfplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Wirksamkeit der Brandschutzmaßnahmen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{regelmäßig}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überprüfen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Gebäudemanagement für Standorte SOLLTE die Wirksamkeit der Brandschutzmaßnahmen {{ insert: param, geb.10.2.8-prm1 }} überprüfen." + }, + { + "id": "GEB.10.2.8_gdn", + "name": "guidance", + "prose": "Eine regelmäßige Überprüfung von Brandmeldeanlagen, Rauchmeldern und organisatorische Maßnahmen stellt sicher, dass diese weiterhin funktionieren. Hier besteht ein enger Zusammenhang zu Compliance-Verpflichtungen, die Brandschutzprüfungen fordern." + } + ] + } + ] + }, + { + "id": "GEB.10.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Wasserschutz", + "props": [ + { + "name": "alt-identifier", + "value": "6f00e3ab-1053-42c0-8c40-0a9d79b0656d" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + } + ], + "parts": [ + { + "id": "GEB.10.3_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Standorte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Gebäudedokumentation" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "zwischen Assets und Witterungs- sowie Wassergefahrenstellen mindestens eine physische Schutzmaßnahme vor Wasser" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "nach den entsprechenden Normen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "installieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Gebäudemanagement für Standorte SOLLTE zwischen Assets und Witterungs- sowie Wassergefahrenstellen mindestens eine physische Schutzmaßnahme vor Wasser nach den entsprechenden Normen installieren." + }, + { + "id": "GEB.10.3_gdn", + "name": "guidance", + "prose": "Relevant ist hierbei sowohl Wasser von oben (Regen und Schnee), als auch von unten (Überflutungen, gesammeltes Regenwasser). Maßnahmen können z.B. witterungsbeständige Baumaterialien, Abdichtungen, Überdachungen, Entwässerungssysteme oder eine erhöhte Positionierung, die eher nicht in überfluteten Bereichen liegen wird, sein. Schränke und Gehäuse können auch mit einer geeigneten IP-Schutzklasse (z.B. IP65) gegen Wasser geschützt werden." + } + ], + "controls": [ + { + "id": "GEB.10.3.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Doppelter baulicher Wasserschutz", + "props": [ + { + "name": "alt-identifier", + "value": "6b169c24-0f22-4ef3-bfe5-3a95e49e4131" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "parts": [ + { + "id": "GEB.10.3.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Standorte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Gebäudedokumentation" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "zwischen Wassergefahrenstellen und Assets mindestens zwei bauliche Schutzmaßnahmen vor Wasser" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "nach den entsprechenden Normen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "installieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Gebäudemanagement für Standorte KANN zwischen Wassergefahrenstellen und Assets mindestens zwei bauliche Schutzmaßnahmen vor Wasser nach den entsprechenden Normen installieren." + }, + { + "id": "GEB.10.3.1_gdn", + "name": "guidance", + "prose": "Relevant ist hierbei sowohl Wasser von oben (Regen und Schnee), als auch von unten (Überflutungen, gesammeltes Regenwasser). Maßnahmen können z.B. witterungsbeständige Baumaterialien, Abdichtungen, Abkofferungen, Überdachungen, oder Entwässerungssysteme sein. Schränke und Gehäuse können auch mit einer geeigneten IP-Schutzklasse (z.B. IP65) gegen Wasser geschützt werden." + } + ] + }, + { + "id": "GEB.10.3.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Leckagesensor", + "props": [ + { + "name": "alt-identifier", + "value": "a7d0e63e-e589-4587-bf0b-043e36515dac" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "parts": [ + { + "id": "GEB.10.3.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Standorte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Gebäudedokumentation" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Wassereinbrüche" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überwachen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Gebäudemanagement für Standorte KANN Wassereinbrüche überwachen." + }, + { + "id": "GEB.10.3.2_gdn", + "name": "guidance", + "prose": "Maßnahmen können z.B. Wassersensorstreifen unter Doppelböden sein, die SNMP-Traps an ein Building Management System (BMS) senden." + } + ] + } + ] + }, + { + "id": "GEB.10.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Blitzschutzeinrichtungen", + "params": [ + { + "id": "geb.10.4-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "3a8c199a-408d-4ac6-9355-b850d4f5188a" + } + ], + "label": "einem anerkannten Standard" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "3a8c199a-408d-4ac6-9355-b850d4f5188a" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "GEB.10.4_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Standorte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Gebäudedokumentation" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Blitzschutzeinrichtungen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "nach {{einem anerkannten Standard}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "installieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Gebäudemanagement für Standorte SOLLTE Blitzschutzeinrichtungen nach {{ insert: param, geb.10.4-prm1 }} installieren." + }, + { + "id": "GEB.10.4_gdn", + "name": "guidance", + "prose": "Blitzschutzeinrichtungen sind bauliche oder technische Maßnahmen, die Gebäude, Anlagen und darin befindliche Systeme vor den direkten und indirekten Auswirkungen eines Blitzeinschlags schützen. Der Zweck dieser Regelung liegt darin, Risiken durch Blitzeinschläge zu reduzieren: Ein direkter Einschlag könnte Gebäudestrukturen beschädigen, Brände verursachen oder elektrische Systeme zerstören. Indirekte Einschläge könnten durch Überspannungen Datenverluste oder den Ausfall kritischer Systeme hervorrufen. Die Installation nach anerkannten Standards kann hier Schäden an Bausubstanz, Stromversorgung und Informationssystemen verhindern und die Verfügbarkeit sensibler Infrastruktur sichern. Ein anerkannter Standard ist hier die DIN EN 62305, die Anforderungen an Planung, Errichtung und Prüfung von Einrichtungen wie Fangstangen oder Erdungsanlagen definiert. Sie kennt verschiedene Schutzklassen. Für Standorte mit normalem Schutzbedarf wird Schutzklasse II oder besser gemäß DIN EN 62305 empfohlen. Für Räume für technische Infrastruktur oder Rechenzentren ist mindestens die Blitzschutzzone 2 (LPZ 2) sinnvoll." + } + ], + "controls": [ + { + "id": "GEB.10.4.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Niederohmigkeit", + "params": [ + { + "id": "geb.10.4.1-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "a70149a9-75af-4784-8011-e1433c72dcfc" + } + ], + "label": "regelmäßig" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "a70149a9-75af-4784-8011-e1433c72dcfc" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Inspektion" + } + ], + "links": [ + { + "href": "#GEB.9.4", + "rel": "related" + } + ], + "parts": [ + { + "id": "GEB.10.4.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Standorte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Übungs- und Prüfplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Blitzschutzeinrichtungen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{regelmäßig}} auf Niederohmigkeit" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überprüfen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Gebäudemanagement für Standorte KANN Blitzschutzeinrichtungen {{ insert: param, geb.10.4.1-prm1 }} auf Niederohmigkeit überprüfen." + }, + { + "id": "GEB.10.4.1_gdn", + "name": "guidance", + "prose": "Eine niedrige Ohmzahl in Erdungs- und Potentialausgleichseinrichtungen gewährleistet, dass Blitzströme schnell und wirksam abgeleitet werden. Siehe DIN VDE 0100-443 u. -534. Beachten Sie dabei auch die Prüfpflicht aus der Betriebssicherheitsverordnung (BetrSichV)." + } + ] + } + ] + }, + { + "id": "GEB.10.5", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Ableitfähiger Fußbodenbelag", + "props": [ + { + "name": "alt-identifier", + "value": "face1ab3-e01f-41eb-8870-f2020a5640bc" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + } + ], + "parts": [ + { + "id": "GEB.10.5_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Räume für technische Infrastruktur" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Gebäudedokumentation" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "im Nahfeld von Systemen einen ableitfähigen Fußbodenbelag" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "installieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Gebäudemanagement für Räume für technische Infrastruktur KANN im Nahfeld von Systemen einen ableitfähigen Fußbodenbelag installieren." + }, + { + "id": "GEB.10.5_gdn", + "name": "guidance", + "prose": "Ein ableitfähiger Boden ist ein Fußbodenbelag, der es ermöglicht, statische Aufladungen abzuleiten, beispielsweise durch eine geerdete Verbindung. Er zeichnet sich durch einen elektrischen Widerstand zwischen 10^6 und 10^9 Ohm aus. Ableitfähige Böden werden in Bereichen eingesetzt, in denen elektrostatische Entladungen (ESD) vermieden werden müssen. Die Umsetzung kann nach DIN EN 14041 oder DIN IEC 61340-4-1 erfolgen." + } + ] + } + ] + } + ] + }, + { + "id": "SENS", + "title": "Sensibilisierung", + "props": [ + { + "name": "label", + "value": "SENS", + "remarks": "Die Praktik Sensibilisierung sorgt dafür, dass alle Mitarbeitenden über die Leitlinie zur Informationssicherheit sowie relevanten Informationssicherheitsrichtlinien, -verfahren und -bedrohungen informiert sind. Ziel ist es, ein sicherheitsbewusstes Verhalten im Arbeitsalltag zu fördern und zu verankern. Der Fokus liegt auf der Schaffung eines Verständnisses für die Bedeutung der Informationssicherheit innerhalb der Institution. Gleichzeitig wird die notwendige Qualifikation für den sicheren Betrieb und die Nutzung von Anwendungen und IT-Systemen vermittelt, um Fehler zu vermeiden. Die Praktik Personalmanagement stellt sicher, dass Informationssicherheitsaspekte während des gesamten Beschäftigungszyklus von Mitarbeitenden berücksichtigt werden, während Sensibilisierung speziell auf die kontinuierliche Weiterbildung und Sensibilisierung im Bereich Informationssicherheit abzielt." + }, + { + "name": "alt-identifier", + "value": "66da6dfc-8bb3-4dcb-9809-72f3be19845e" + } + ], + "groups": [ + { + "id": "SENS.1", + "title": "Grundlagen", + "props": [ + { + "name": "label", + "value": "1" + }, + { + "name": "alt-identifier", + "value": "94bfadab-43f6-48d7-ac5e-49b8fbcf2794" + } + ], + "controls": [ + { + "id": "SENS.1.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Verfahren und Regelungen", + "props": [ + { + "name": "alt-identifier", + "value": "445eea0b-00dd-46b6-88f1-6fc12c56335b" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Advanced Persistent Threats (APT)" + } + ], + "links": [ + { + "href": "#PERS.4.2", + "rel": "related" + } + ], + "parts": [ + { + "id": "SENS.1.1_stm", + "name": "statement", + "props": [ + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Verfahren und Regelungen zur rollenspezifischen Schulung und Sensibilisierung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Sensibilisierung MUSS Verfahren und Regelungen zur rollenspezifischen Schulung und Sensibilisierung verankern." + }, + { + "id": "SENS.1.1_gdn", + "name": "guidance", + "prose": "Zweck ist es, internen und externen Nutzenden die korrekte Verarbeitung von schützenswerten Informationen sowie die sichere Bedienung von IT-Systemen und Anwendungen nahezubringen. Ohne Sensibilisierung könnte etwa ein Administrator durch Unachtsamkeit kritische Systemkonfigurationen offenlegen, eine Pflegekraft könnte Patientendaten in unsicheren Kanälen weitergeben oder ein Beschäftigter im Einkauf könnte auf täuschend echt wirkende Phishing-Mails hereinfallen. Durch passgenaue Schulungen kann dagegen erreicht werden, dass Mitarbeitende die für ihre Aufgaben relevanten Gefahren frühzeitig erkennen, geeignete Schutzmaßnahmen anwenden und damit einen aktiven Beitrag zur Informationssicherheit leisten. Zweckmäßig ist es, im Rahmen der Ersteinweisung dazu Schulungen durchzuführen und um jährliche Information über aktuelle Neuerungen zu ergänzen. Zur Ergänzung und Erinnerung sind z.B. Poster oder Kampagnen sinnvoll. Die bei der Festlegung des Verfahrens im Einzelnen zu berücksichtigenden Inhalte ergeben sich aus den Anforderungen dieser Praktik." + } + ], + "controls": [ + { + "id": "SENS.1.1.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Dokumentation", + "props": [ + { + "name": "alt-identifier", + "value": "8f4b78c1-44fa-4fc1-86d9-c56cee673a8f" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "SENS.1.1.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Verfahren und Regelungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Sensibilisierung MUSS die Verfahren und Regelungen dokumentieren." + }, + { + "id": "SENS.1.1.1_gdn", + "name": "guidance", + "prose": "Ohne eine Dokumentation könnte die Einhaltung der Verfahren und Regelungen von der Tagesform oder dem individuellen Wissen einzelner Mitarbeiter abhängen, was zu inkonsistenten Entscheidungen und Fehlern führen könnte; insbesondere beim Ausscheiden eines langjährigen Administrators könnte wertvolles prozessuales Wissen verloren gehen. Eine klare Dokumentation sichert die Verbindlichkeit und Wiederholbarkeit und dient als unverzichtbare Grundlage für die Einarbeitung neuer Kollegen, für die Durchführung von Audits und zur einheitlichen Anwendung der Regeln in der gesamten Institution. Die Dokumentation kann in einem eigenständigen Dokument als Richtlinie erfolgen, aber auch als Abschnitt in einem bereits bestehenden Dokument oder über die digital strukturiere Erfassung von Maßnahmen zur Umsetzung der Anforderungen, etwa über eine Software zum Management der Informationssicherheit. Sinnvoll ist es Ort und Struktur der Dokumentation an der jeweiligen Zielgruppe, d.h. den für das Management und die Umsetzung verantwortlichen Personen oder Rollen, auszurichten." + } + ] + }, + { + "id": "SENS.1.1.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Zuweisung der Aufgaben", + "params": [ + { + "id": "sens.1.1.2-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "9293fc7a-8459-4d4a-a1f3-08b01c03786d" + } + ], + "label": "zuständigen Personen oder Rollen" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "9293fc7a-8459-4d4a-a1f3-08b01c03786d" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "SENS.1.1.2_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Geschäftsverteilungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die mit den Verfahren und Regelungen verbundenen Aufgaben" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{zuständigen Personen oder Rollen}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "zuweisen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Sensibilisierung MUSS die mit den Verfahren und Regelungen verbundenen Aufgaben {{ insert: param, sens.1.1.2-prm1 }} zuweisen." + }, + { + "id": "SENS.1.1.2_gdn", + "name": "guidance", + "prose": "Die Zuweisung von Aufgaben bezeichnet die eindeutige und verbindliche Übertragung von konkreten Tätigkeiten und Verantwortlichkeiten des Änderungsprozesses, wie etwa die Risikobewertung, die technische Umsetzung oder die finale Freigabe, an definierte Stellen in der Institution. Der Sinn dieser Vorschrift ist es, die Verantwortlichkeit (\"Accountability\") für jeden einzelnen Schritt im Prozess klarzustellen. Ohne eine solche Zuweisung könnten kritische Prüfungen unterbleiben, weil sich niemand explizit zuständig fühlt, was wiederum die Wahrscheinlichkeit fehlgeschlagener Änderungen erhöht. Eine klare Regelung kann sicherstellen, dass keine Aufgaben übersehen werden und jede Tätigkeit von einer dafür qualifizierten und befugten Stelle ausgeführt wird, was die Prozesssicherheit signifikant erhöht. Eine bewährte Methode zur Umsetzung ist die Erstellung einer RACI-Matrix (Responsible, Accountable, Consulted, Informed), die tabellarisch für jeden Prozessschritt darstellt, wer für die Durchführung verantwortlich ist, wer die Gesamtverantwortung trägt, wer zu konsultieren und wer zu informieren ist. Diese Zuständigkeiten können auch direkt in einem Workflow- oder Ticketsystem abgebildet werden, sodass Aufgaben, wie beispielsweise Genehmigungsschritte, automatisch an die richtige Gruppe oder Person weitergeleitet werden. Sinnvoll ist es, die Zuweisung anhand von Rollen (z. B. \"Anwendungsverantwortlicher\", \"Netzwerkadministrator\", \"Change Manager\") vorzunehmen, statt an konkrete Personen. Dieser Ansatz stellt sicher, dass die Prozesse auch bei Personalwechseln stabil weiterlaufen, da die Zuständigkeit an die Funktion und nicht an das Individuum gebunden ist." + } + ] + }, + { + "id": "SENS.1.1.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Bekanntgabe", + "props": [ + { + "name": "alt-identifier", + "value": "13bf93c2-4f1e-48dd-ab88-61baaa958a41" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "SENS.1.1.3_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die zuständigen Personen oder Rollen über die Verfahren und Regelungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "informieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Sensibilisierung MUSS die zuständigen Personen oder Rollen über die Verfahren und Regelungen informieren." + }, + { + "id": "SENS.1.1.3_gdn", + "name": "guidance", + "prose": "Wenn die Zuständigen die etablierten Verfahren nicht kennen, besteht die Gefahr, dass diese – sei es aus Unwissenheit oder Bequemlichkeit – umgangen werden, was die Schutzwirkung des gesamten Managementsystems untergräbt. So könnte ein neuer Systemadministrator eine weitreichende Konfigurationsänderung vornehmen, ohne den vorgeschriebenen Genehmigungsprozess zu durchlaufen, was zu einem unbemerkten Sicherheitsrisiko führen könnte. Eine gezielte Information kann hingegen die Akzeptanz der Regelungen fördern und sicherstellen, dass alle Beteiligten ihre Rolle im Prozess verstehen und die Abläufe korrekt anwenden. Zur Umsetzung ist es sinnvoll die Dokumentation im Rahmen eines Onboarding-Prozesses bekanntzugeben und bei allen Änderungen eine automatische Benachrichtigung aller zuständigen Personen oder Rollen anzustoßen." + } + ] + } + ] + }, + { + "id": "SENS.1.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Erfolgsmessung", + "params": [ + { + "id": "sens.1.2-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "9d6cd1f9-6aa0-4042-a9dd-9d696a75a6de" + } + ], + "label": "objektivierter Kriterien" + }, + { + "id": "sens.1.2-prm2", + "props": [ + { + "name": "alt-identifier", + "value": "9d6cd1f9-6aa0-4042-a9dd-9d696a75a6de" + } + ], + "label": "regelmäßig" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "9d6cd1f9-6aa0-4042-a9dd-9d696a75a6de" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "SENS.1.2_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Übungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "den Erfolg der Sensibilisierung anhand {{objektivierter Kriterien}}" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{regelmäßig}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überprüfen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sensibilisierung SOLLTE den Erfolg der Sensibilisierung anhand {{ insert: param, sens.1.2-prm1 }} {{ insert: param, sens.1.2-prm2 }} überprüfen." + }, + { + "id": "SENS.1.2_gdn", + "name": "guidance", + "prose": "Zur Erfolgsmessung sind sowohl quantitative als auch qualitative Kriterien heranzuziehen, die unabhängig nachvollziehbar und überprüfbar sind. Erfolg zeigt sich dabei sowohl im erworbenen Wissen der Zielgruppen zur Informationssicherheit als auch in der tatsächlich umgesetzten Praxis von Schutzmaßnahmen." + } + ] + } + ] + }, + { + "id": "SENS.2", + "title": "Grundlegende Sensibilisierung", + "props": [ + { + "name": "label", + "value": "2" + }, + { + "name": "alt-identifier", + "value": "32b3abbe-7d9a-466f-afe5-4a42be1cc24a" + } + ], + "controls": [ + { + "id": "SENS.2.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Schutzziele", + "props": [ + { + "name": "alt-identifier", + "value": "3d48b1b4-4896-456f-8c7b-46e0b63a1e68" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "1" + } + ], + "parts": [ + { + "id": "SENS.2.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Nutzende" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Schulungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "zu den Schutzzielen Verfügbarkeit, Vertraulichkeit und Integrität" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "sensibilisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sensibilisierung für Nutzende SOLLTE zu den Schutzzielen Verfügbarkeit, Vertraulichkeit und Integrität sensibilisieren." + }, + { + "id": "SENS.2.1_gdn", + "name": "guidance", + "prose": "Für die grundlegende Schulung kann z.B. auf den Online-Kurs des BSI zum IT-Grundschutz zurückgegriffen werden." + } + ] + }, + { + "id": "SENS.2.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Meldewege", + "props": [ + { + "name": "alt-identifier", + "value": "08dde2c0-4676-493f-bf6f-71453113b852" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + } + ], + "links": [ + { + "href": "#SENS.2.8", + "rel": "related" + }, + { + "href": "#DET.2.1", + "rel": "related" + } + ], + "parts": [ + { + "id": "SENS.2.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Nutzende" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Arbeitsanweisung" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "zu den Meldewegen und Informationsquellen bei Fragen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "informieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sensibilisierung für Nutzende SOLLTE zu den Meldewegen und Informationsquellen bei Fragen informieren." + }, + { + "id": "SENS.2.2_gdn", + "name": "guidance", + "prose": "Zur Bekanntgabe von Meldewegen gehört, welche Meldewege (z.B. Adresse, Rufnummer, Ticketsystem) zur Verfügung stehen und welche weiteren Informationsquellen (z.B. Wissensmanagement im Intranet, Dienstanweisungen, Betriebshandbuch, Chatbots) relevante Informationen zur Informationssicherheit enthalten." + } + ] + }, + { + "id": "SENS.2.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Verschlüsselung und Signatur", + "props": [ + { + "name": "alt-identifier", + "value": "a3f929a6-2655-4532-84c5-5c985de579bf" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "SENS.2.3_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Nutzende, Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Schulungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "zur Bedienung von Verschlüsselungs- und Signaturfunktionen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "sensibilisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sensibilisierung für Nutzende von Anwendungen SOLLTE zur Bedienung von Verschlüsselungs- und Signaturfunktionen sensibilisieren." + }, + { + "id": "SENS.2.3_gdn", + "name": "guidance", + "prose": "Viele Anwendungen zur Kommunikation bieten Funktionen zur Verschlüsselung oder digitalen Signatur (z.B. Verifikation der Ende-zu-Ende-Verschlüsselung per QR-Code im Messenger, Digitale Signatur von E-Mails). Verschlüsselung kann symmetrisch (gleicher Schlüssel ist auf beiden Seiten bekannt) oder asymmetrisch (ein öffentlicher und ein privater Schlüssel) erfolgen. Digitale Signaturen ermöglichen es, die Herkunft einer Nachricht zu überprüfen und Manipulationen zu erkennen." + } + ] + }, + { + "id": "SENS.2.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Nutzung unautorisierter Assets", + "props": [ + { + "name": "alt-identifier", + "value": "1ca19eb8-f4a2-42b5-85f1-ce96fce606bf" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Bring Your Own Device, Insider Threat" + } + ], + "links": [ + { + "href": "#ASST.3.11", + "rel": "required" + }, + { + "href": "#KONF.3.7", + "rel": "related" + } + ], + "parts": [ + { + "id": "SENS.2.4_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Nutzende" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Arbeitsanweisung" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Nutzung unautorisierter Assets" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "untersagen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sensibilisierung für Nutzende SOLLTE die Nutzung unautorisierter Assets untersagen." + }, + { + "id": "SENS.2.4_gdn", + "name": "guidance", + "prose": "Die Nutzung unautorisierter Assets bezeichnet hier den Einsatz von IT-Systemen, Datenträgern, Anwendungen oder Cloud-Diensten, die nicht durch die Institution freigegeben und inventarisiert sind. Hierzu gehört auch der Anschluss privater Peripheriegeräte wie Tastaturen oder das Telefonieren mit nicht autorisierten Telefonen. Der Sinn und Zweck der Anforderung liegt darin, unkontrollierte Schatten-IT und damit verbundene Risiken zu reduzieren. So könnte etwa ein unautorisiertes USB-Gerät Schadsoftware einschleusen, oder eine nicht genehmigte Cloud-Anwendung könnte zu unbemerkten Datenabflüssen führen. Besteht ein Bedarf an Assets, dann können die festgelegten Meldewege genutzt werden. Bei der Beschaffung von Assets sind die Verfahren und Regelungen des Assetmanagements zu beachten." + } + ], + "controls": [ + { + "id": "SENS.2.4.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Verbindung unautorisierter IT-Systeme", + "props": [ + { + "name": "alt-identifier", + "value": "06cf0eba-817a-4dfb-8e8b-b51044cb5a90" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Bring Your Own Device, Insider Threat" + } + ], + "parts": [ + { + "id": "SENS.2.4.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Nutzende" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Arbeitsanweisung" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Verbindung unautorisierter IT-Systeme mit internen Netzen oder Schnittstellen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "untersagen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sensibilisierung für Nutzende SOLLTE die Verbindung unautorisierter IT-Systeme mit internen Netzen oder Schnittstellen untersagen." + }, + { + "id": "SENS.2.4.1_gdn", + "name": "guidance", + "prose": "Unautorisierte IT-Systeme sind solche, die von der Institution nicht für den Einsatz in den Netzen der Institution vorgesehen sind. Werden solche Geräte mit internen Netzen verbunden, so besteht das Risiko, dass sich hierüber Schadcode verbreitet oder unerwünschte Netzverbindungen aufgebaut werden. Das betrifft sowohl kabelgebundene Verbindungen als auch Funkverbindungen wie WLAN oder Bluetooth." + } + ] + } + ] + }, + { + "id": "SENS.2.5", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Zuständigkeitsbereiche", + "props": [ + { + "name": "alt-identifier", + "value": "2392c7c3-0d1f-4e7e-9a21-ffca2bf54798" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + } + ], + "parts": [ + { + "id": "SENS.2.5_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Nutzende" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Schulungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "zu Schutzbedarf und Schnittstellen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "in ihrem Zuständigkeitssbereich" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "sensibilisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sensibilisierung für Nutzende SOLLTE zu Schutzbedarf und Schnittstellen in ihrem Zuständigkeitssbereich sensibilisieren." + }, + { + "id": "SENS.2.5_gdn", + "name": "guidance", + "prose": "Hiermit ist der Schutzbedarf des Zuständigkeitsbereichs des jeweiligen Nutzenden gemeint. Die Schnittstellen zu anderen Zuständigkeitsbereichen und deren entsprechender Schutzbedarf ist ebenfalls zu betrachten." + } + ] + }, + { + "id": "SENS.2.6", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Umgehung von Sicherheitsfunktionen", + "props": [ + { + "name": "alt-identifier", + "value": "875e5c3d-64e7-403c-bfc7-456200e5e661" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + } + ], + "parts": [ + { + "id": "SENS.2.6_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Nutzende" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Schulungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "gegen die Umgehung von Sicherheitsfunktionen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "sensibilisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sensibilisierung für Nutzende SOLLTE gegen die Umgehung von Sicherheitsfunktionen sensibilisieren." + }, + { + "id": "SENS.2.6_gdn", + "name": "guidance", + "prose": "Selbst die ausgefeiltesten Sicherheitssysteme werden wirkungslos, wenn Anwender diese durch Eigeninitiative oder mangelndes Verständnis umgehen. Umgehungshandlungen könnten beispielsweise dazu führen, dass Schadprogramme durch Deaktivieren des Virenschutzes ins System gelangen, oder Angreifer über unsichere Verbindungen Zugang erhalten, wenn neue Verbindungen eigenmächtig geschaffen werden. Der Begriff \"Umgehung von Sicherheitsfunktionen\" umfasst dabei alle Handlungen, bei denen implementierte technische oder organisatorische Schutzmaßnahmen außer Kraft gesetzt, deaktiviert oder auf andere Weise ihrer Schutzwirkung beraubt werden, z.B. durch Rooting/Jailbreaking oder Verwendung nicht autorisierter Anwendungen oder Geräte. Wenn für eine Tätigkeit Funktionen benötigt werden, die durch Sicherheitsmechanismen verhindert werden, ist stattdessen eine Abstimmung über die festgelegten Meldewege sinnvoll." + } + ] + }, + { + "id": "SENS.2.7", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Änderung von Konfigurationen", + "props": [ + { + "name": "alt-identifier", + "value": "e849100d-2282-4c6a-b1c6-c6ec3999f9dc" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "1" + } + ], + "parts": [ + { + "id": "SENS.2.7_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Nutzende" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Schulungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "gegen die unautorisierte Änderung sicherheitsrelevanter Konfigurationen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "sensibilisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sensibilisierung für Nutzende SOLLTE gegen die unautorisierte Änderung sicherheitsrelevanter Konfigurationen sensibilisieren." + }, + { + "id": "SENS.2.7_gdn", + "name": "guidance", + "prose": "Sicherheitsrelevante Konfigurationen umfassen dabei alle Einstellungen, die direkten Einfluss auf die Sicherheit haben, wie Firewall-Regeln, Benutzerrechte, Verschlüsselungsparameter, Netzwerkkonfigurationen oder Sicherheitssoftware-Einstellungen. Besteht ein Bedarf zur Änderung (z.B. Einschalten bislang deaktivierter Funktionen, Akzeptanz von Verschlüsselungszertifikaten) so ist stattdessen ein Gespräch mit den für Informationssicherheit zuständigen Stellen in der Institution sinnvoll um einen sicheren Betrieb zu ermöglichen." + } + ] + }, + { + "id": "SENS.2.8", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Melden von Ereignissen", + "props": [ + { + "name": "alt-identifier", + "value": "fd77e4dd-401d-4b06-a297-bfeded7d53ef" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Insider Threat" + } + ], + "links": [ + { + "href": "#SENS.2.2", + "rel": "required" + }, + { + "href": "#DET.2.1.1", + "rel": "related" + }, + { + "href": "#DET.2.1", + "rel": "related" + } + ], + "parts": [ + { + "id": "SENS.2.8_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Nutzende" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Arbeitsanweisung" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "zum Melden von sicherheitsrelevanten Ereignissen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "anweisen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sensibilisierung für Nutzende SOLLTE zum Melden von sicherheitsrelevanten Ereignissen anweisen." + }, + { + "id": "SENS.2.8_gdn", + "name": "guidance", + "prose": "Ohne ein Bewusstsein für die Bedeutung solcher Meldungen könnte ein Vorfall wie ein Phishing-Versuch, ein auffälliges Verhalten in einem IT-System oder der Verlust eines mobilen Endgeräts unbemerkt bleiben und gravierende Auswirkungen nach sich ziehen. Umgekehrt kann eine geschulte Aufmerksamkeit verhindern, dass Schwachstellen unentdeckt bleiben, und kann so die Widerstandsfähigkeit der Institution stärken. Sicherheitsrelevante Ereignisse sind hier Beobachtungen oder Abweichungen, die auf eine mögliche Beeinträchtigung der Informationssicherheit hinweisen – beispielsweise technische Probleme wie Systemausfälle und Virenfunde, aber auch verdächtige Aktivitäten von Personen wie z.B. unbefugte Zugriffe auf Systeme oder Daten oder unbekannte Personen in Sicherheitsbereichen. Eine geeignete Umsetzung kann durch unterschiedliche Maßnahmen unterstützt werden: (1) einfache und klar sichtbare Meldewege, z. B. eine zentrale Funktionsmailadresse oder eine Notfallhotline, (2) kurze Schulungen oder Awareness-Kampagnen mit praxisnahen Beispielen, die verdeutlichen, welche Vorfälle gemeldet werden können, (3) niedrigschwellige Hilfsmittel wie Poster, Bildschirm-Hinweise oder Quick-Reference-Karten, die den Meldeprozess in Erinnerung rufen. Für eine Umsetzung kann die BSI IT-Notfallkarte „Verhalten bei IT-Notfällen“ genutzt werden." + } + ], + "controls": [ + { + "id": "SENS.2.8.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Melden von Fehler- und Warnmeldungen", + "props": [ + { + "name": "alt-identifier", + "value": "143c39e7-3bee-42e6-9876-dc55973f2ed4" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Error Handling" + } + ], + "links": [ + { + "href": "#SENS.2.2", + "rel": "required" + } + ], + "parts": [ + { + "id": "SENS.2.8.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Nutzende" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Schulungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "zum Melden von Fehler- und Warnmeldungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "sensibilisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sensibilisierung für Nutzende SOLLTE zum Melden von Fehler- und Warnmeldungen sensibilisieren." + }, + { + "id": "SENS.2.8.1_gdn", + "name": "guidance", + "prose": "Unerwartete Fehler- oder Warnmeldungen könnten ein Indiz für weitreichendere Störungen oder sogar einen Angriff sein. Das Melden von Fehler- oder Warnmeldungen ist daher im Zweifel eine gute Idee nicht nur um den Betrieb aufrechtzuerhalten, sondern auch um die Informationssicherheit zu gewährleisten." + } + ] + } + ] + } + ] + }, + { + "id": "SENS.3", + "title": "Schutz vor Schadprogrammen", + "props": [ + { + "name": "label", + "value": "3" + }, + { + "name": "alt-identifier", + "value": "f580d6e8-61d4-4a7f-8552-d99586634099" + } + ], + "controls": [ + { + "id": "SENS.3.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Schadprogramme", + "props": [ + { + "name": "alt-identifier", + "value": "f5f8738d-0c08-4b55-a01a-e8883d6401c8" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Advanced Persistent Threats (APT)" + } + ], + "parts": [ + { + "id": "SENS.3.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Nutzende" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Schulungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "gegen die Risiken von Schadprogrammen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "sensibilisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sensibilisierung für Nutzende SOLLTE gegen die Risiken von Schadprogrammen sensibilisieren." + }, + { + "id": "SENS.3.1_gdn", + "name": "guidance", + "prose": "Viele Dateitypen, wie z. B. Office-Dateien mit Makros, Adobe PDF, .exe, .ps1, oder .vbs, können Schadcode enthalten, der bei Ausführung die Kontrolle über das System übernimmt und Angreifern zur weiteren Ausbreitung im Informationsverbund dient." + } + ] + }, + { + "id": "SENS.3.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Öffnen in der Sandbox", + "props": [ + { + "name": "alt-identifier", + "value": "fbe194d0-d93c-4fdd-ab18-33df5558e8db" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "links": [ + { + "href": "#DET.6.2.2", + "rel": "related" + } + ], + "parts": [ + { + "id": "SENS.3.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Nutzende" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Schulungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "zum Öffnen verdächtiger Dateien ausschließlich auf einem isolierten IT-System (Sandbox)" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "sensibilisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Sensibilisierung für Nutzende KANN zum Öffnen verdächtiger Dateien ausschließlich auf einem isolierten IT-System (Sandbox) sensibilisieren." + }, + { + "id": "SENS.3.2_gdn", + "name": "guidance", + "prose": "Eine Sandbox ist ein isoliertes IT-System, das bewusst so gestaltet ist, dass Dateien oder Programme in einer abgeschotteten Umgebung geöffnet und ausgeführt werden, ohne die produktive IT-Infrastruktur zu gefährden. Damit wird ein geschützter Bereich geschaffen, in dem verdächtige Dateien getestet und beobachtet werden, ohne dass Schadsoftware unkontrolliert in interne Systeme gelangt. Der Sinn dieser Anforderung liegt darin, das Risiko unbewusster Schadcode-Ausführung zu reduzieren: Ein unbedachtes Öffnen von E-Mail-Anhängen könnte beispielsweise zu Verschlüsselung durch Ransomware führen, oder ein manipuliertes Office-Dokument könnte eine unbemerkte Datenabflussschleuse öffnen. Als Sandbox kann auch ein virtuelles System auf dem Endgerät genutzt werden, wenn dieses von der Betriebssystemumgebung des Endgerätes isoliert ausgeführt wird." + } + ] + }, + { + "id": "SENS.3.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Umwandeln verdächtiger Dateien", + "props": [ + { + "name": "alt-identifier", + "value": "8b0d3acb-43d2-460d-bd40-adeb68400c2f" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "parts": [ + { + "id": "SENS.3.3_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Nutzende" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Schulungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "zum Umwandeln verdächtiger Dateien in ein nicht-ausführbares Format" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "vor der weiteren Verwendung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "sensibilisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Sensibilisierung für Nutzende KANN zum Umwandeln verdächtiger Dateien in ein nicht-ausführbares Format vor der weiteren Verwendung sensibilisieren." + }, + { + "id": "SENS.3.3_gdn", + "name": "guidance", + "prose": "Das gezielte Umwandeln potenziell schadhafter Dateien in ein nicht-ausführbares Format (engl. defanging) kann helfen, die Ausnutzung von Sicherheitslücken zu verhindern, bevor schädlicher Code aktiv werden kann. Eine Datei gilt dabei als verdächtig, wenn sie aus einer unbekannten oder unzuverlässigen Quelle stammt. Im Kontext dieser Anforderung bedeutet nicht-ausführbares Format (non-executable format), dass die Datei zwar geöffnet oder betrachtet, jedoch nicht direkt ausgeführt werden kann – Beispiele sind PDF ohne eingebettete aktive Inhalte, reines Textformat (.txt) oder Bildformate wie .png/.jpg. Die Umwandlung kann auf unterschiedliche Weise erfolgen, ohne dass dabei möglicher schadhafter Code in der Originaldatei ausgeführt wird. Verdächtige Office-Dokumente können automatisiert in ein PDF umgewandelt oder als Screenshot exportiert werden, bevor der Inhalt zur Ansicht freigegeben wird. Auch das Verwenden von sicheren Cloud-Vorschau-Ansichten, die keine direkte Ausführung erlauben, kann eingesetzt werden. Weitere praktikable Möglichkeiten sind das Umwandeln von ausführbaren Anhängen in komprimierte Archive mit deaktivierter automatischer Entpackung, oder die Nutzung spezieller Konverter-Tools, die potenziell gefährliche Dateiinhalte in ein sicheres Anzeigeformat übertragen. Hilfreich kann auch ein einfaches, intern bereitgestelltes Kurztutorial sein, das typische Umwandlungsschritte für verschiedene Dateitypen erklärt und aufzeigt, woran Nutzende potenzielle Risiken erkennen können." + } + ] + } + ] + }, + { + "id": "SENS.4", + "title": "Authentisierung", + "props": [ + { + "name": "label", + "value": "4" + }, + { + "name": "alt-identifier", + "value": "44f9534d-e992-4c9c-8170-6e32f350cbd7" + } + ], + "controls": [ + { + "id": "SENS.4.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Personengebundene Authentisierungsmittel", + "props": [ + { + "name": "alt-identifier", + "value": "fbdb73ce-38c5-466f-84a3-218a7d73eda9" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Authentication and Authorization, Advanced Persistent Threats (APT)" + } + ], + "links": [ + { + "href": "#BER.7.5", + "rel": "required" + } + ], + "parts": [ + { + "id": "SENS.4.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Nutzende" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Schulungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "zum Umgang mit Authentisierungsmitteln" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "im Einklang mit den zugehörigen Anforderungen des Identitäts- und Berechtigungsmanagements" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "sensibilisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sensibilisierung für Nutzende SOLLTE zum Umgang mit Authentisierungsmitteln im Einklang mit den zugehörigen Anforderungen des Identitäts- und Berechtigungsmanagements sensibilisieren." + }, + { + "id": "SENS.4.1_gdn", + "name": "guidance", + "prose": "Authentisierungsmittel sind alle Methoden oder Technologien, die zur Überprüfung der Identität verwendet werden, z.B. Passwörter, Zugangschipkarte, Ausweis. Um Missbrauch zu vermeiden ist es wichtig, diese (1) geschützt aufzubewahren und niemals weiterzugeben, (2) den Verdacht, dass ein Passwort oder Token kompromittiert sein könnte, sofort zu melden und (3) aufmerksam gegenüber ungewöhnlichen Login-Masken oder Aufforderungen zu sein, die Zugangsdaten außerhalb der gewohnten Systeme einzugeben." + } + ], + "controls": [ + { + "id": "SENS.4.1.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Verdeckte Eingabe", + "props": [ + { + "name": "alt-identifier", + "value": "78719bfb-2d5c-492f-ba02-fc10a0bdf361" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Shoulder Surfing" + } + ], + "parts": [ + { + "id": "SENS.4.1.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Nutzende" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Schulungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "zur verdeckten Eingabe von Zugangsdaten" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "sensibilisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sensibilisierung für Nutzende SOLLTE zur verdeckten Eingabe von Zugangsdaten sensibilisieren." + }, + { + "id": "SENS.4.1.1_gdn", + "name": "guidance", + "prose": "Werden Zugangsdaten unverdeckt eingegeben, so könnten diese durch Shoulder Surfing kompromittiert werden, etwa in überfüllten Bereichen, Aufzügen oder während Videokonferenzen. Die verdeckte Eingabe umfasst dabei alle Tätigkeiten, die verhindern, dass Unbefugte die Eingabe von Passwörtern, PINs oder anderen Authentifizierungsdaten visuell erfassen können, sei es durch direkte Sichtbarkeit oder durch das Verfolgen von Handbewegungen und Tastaturanschlägen. Beispiele sind die bewusste Positionierung des Körpers oder der Hand als natürlicher Sichtschutz bei der Eingabe, sowie die Nutzung von Sichtschutzfolien auf Bildschirmen in öffentlichen Bereichen oder beim mobilen Arbeiten." + } + ] + }, + { + "id": "SENS.4.1.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Untersagung von Passwort Recycling", + "props": [ + { + "name": "alt-identifier", + "value": "0573247f-65f3-4768-9d27-6c9c0f42c6cd" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Credential Stuffing, Privilege Escalation, Password Policy" + } + ], + "parts": [ + { + "id": "SENS.4.1.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Nutzende" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Arbeitsanweisung" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Wiederverwendung von Passwörtern" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "untersagen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sensibilisierung für Nutzende SOLLTE die Wiederverwendung von Passwörtern untersagen." + }, + { + "id": "SENS.4.1.2_gdn", + "name": "guidance", + "prose": "Wiederverwendung von Passwörtern bezeichnet die Nutzung identischer Zugangsdaten für verschiedene Systeme, Dienste oder Anwendungen. Werden identische Passwörter auf unterschiedlichen Systemen eingesetzt, steigt die Wahrscheinlichkeit, dass ein Angreifer mit einem einzigen erlangten Passwort Zugriff auf weitere Konten erhält („Credential Stuffing“). Ein Vorfall könnte beispielsweise darin bestehen, dass ein externer Angreifer durch ein Datenleck bei einem Drittanbieter an ein altes Passwort gelangt und damit Zugang zu internen Diensten erhält, wenn die betroffene Person dieses Passwort mehrfach genutzt hat. Auch im internen Umfeld kann die Wiederverwendung von Passwörtern dazu führen, dass unbefugte Dritte über abgefangene oder mitgehörte Anmeldedaten Zugang zu sensiblen Bereichen erhalten. Die Anforderung zielt also auf eine Reduzierung der Angriffsfläche durch Verhinderung von Kettenreaktionen, die aus nur einem kompromittierten Passwort entstehen können. Mit „Wiederverwendung“ ist sowohl die Verwendung desselben Passworts an verschiedenen Zugangskonten oder IT-Systemen, also auch eine zeitlich wiederholte Nutzung früherer Passwörter gemeint." + } + ] + }, + { + "id": "SENS.4.1.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Wahl von Passwörtern", + "props": [ + { + "name": "alt-identifier", + "value": "48c3a712-943d-403e-8e04-cfc11d92a387" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Authentication and Authorization, Password Policy" + } + ], + "links": [ + { + "href": "#BER.6.8", + "rel": "required" + } + ], + "parts": [ + { + "id": "SENS.4.1.3_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Nutzende" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Schulungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "zur Wahl ausreichend komplexer Passwörter" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "sensibilisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sensibilisierung für Nutzende SOLLTE zur Wahl ausreichend komplexer Passwörter sensibilisieren." + }, + { + "id": "SENS.4.1.3_gdn", + "name": "guidance", + "prose": "Ein Passwort ist ein geheimes Zeichenfolgenkürzel, das als Authentisierungsmerkmal dient und typischerweise aus Buchstaben, Ziffern und Sonderzeichen bestehen kann. Komplexität bedeutet hierbei, dass die Passwortstruktur hinreichend schwer zu Erraten oder durch automatisierte Verfahren zu berechnen ist, etwa durch eine gewisse Länge und die Verwendung unterschiedlicher Zeichenarten. Die Komplexität ist ausreichend, wenn sie den festgelegten Qualitätskriterien für Passwörter entspricht. Einfache oder mehrfach genutzte Passwörter könnten durch erraten, Wörterbuchangriffe oder Datenleaks kompromittiert werden und so zu unautorisierten Zugriffen, Datenverlusten oder Identitätsdiebstahl führen. Die bewusste Wahl starker und einzigartiger Passwörter kann hingegen die Widerstandsfähigkeit gegen Angriffe deutlich erhöhen und so einen wesentlichen Beitrag zum Schutz von Daten und IT-Systemen leisten. Zur Umsetzung kann eine Institution verschiedene Maßnahmen einsetzen: (1) praxisnahe Schulungen und E-Learnings, die anschaulich erläutern, warum Passwörter wie „Sommer2023“ leicht angreifbar sein könnten und wie kreative Passphrasen gebildet werden können, (2) begleitende Tipps in Anmeldemasken, die Hinweise zur Passwortgestaltung geben, ohne konkrete Vorgaben zu erzwingen, (3) die Empfehlung von Passwortmanagern, die den Umgang mit langen und individuellen Kennwörtern erleichtern, (4) prozessuale Begleitung durch Erinnerungen oder kurze Awareness-Kampagnen, etwa durch Plakate, Newsletter oder interaktive Quizformate. Für mehr Details siehe auch Thema Passwortgebrauch in der Praktik Berechtigung." + } + ] + }, + { + "id": "SENS.4.1.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Passwörter nur im Passwortmanager", + "props": [ + { + "name": "alt-identifier", + "value": "7734048a-d797-49f0-87e6-f9c08ce5f5e7" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Password Policy" + } + ], + "parts": [ + { + "id": "SENS.4.1.4_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Nutzende" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Arbeitsanweisung" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "das Speichern oder Aufschreiben von Passwörtern außerhalb von Passwort-Managern" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "untersagen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sensibilisierung für Nutzende SOLLTE das Speichern oder Aufschreiben von Passwörtern außerhalb von Passwort-Managern untersagen." + }, + { + "id": "SENS.4.1.4_gdn", + "name": "guidance", + "prose": "Weil Passwörter komplex sind und an vielen Stellen verwendet werden kommt es immer wieder dazu, dass sie unbedacht auf Zetteln oder in unverschlüsselten Tabellen notiert werden. Werden Passwörter etwa in Office-Listen, im Browser oder auf programmierbaren Tastaturen und Mäusen gespeichert, so könnten Angreifer diese auslesen und zur Ausbreitung auf Systemen und im Netz verwenden. In einem verschlüsselten Passwort-Manager, der nur mit einem Master-Passwort oder Hardwaretoken entsperrt werden kann, können Zugangsdaten dagegen sicher gespeichert werden. Ein Passwortmanager erleichtert es zudem Passwörter zu erzeugen und den richtigen Webseiten und Anwendungen zuzuordnen." + } + ] + }, + { + "id": "SENS.4.1.5", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Biometrische Authentifikation", + "props": [ + { + "name": "alt-identifier", + "value": "9065b5b9-cf47-40c1-9238-0f3e2f912fb9" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "1" + } + ], + "parts": [ + { + "id": "SENS.4.1.5_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Nutzende" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Schulungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "gegen die Fälschbarkeit von biometrischen Authentifizierungsmerkmalen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "sensibilisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sensibilisierung für Nutzende SOLLTE gegen die Fälschbarkeit von biometrischen Authentifizierungsmerkmalen sensibilisieren." + }, + { + "id": "SENS.4.1.5_gdn", + "name": "guidance", + "prose": "Ein Angreifer könnte z.B. einen Fingerabdruck von einer glatten Oberfläche abnehmen und damit ein Gerät missbräuchlich entsperren." + } + ] + }, + { + "id": "SENS.4.1.6", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Keine Weitergabe personengebundener Authentisierungsmittel", + "props": [ + { + "name": "alt-identifier", + "value": "b25f3f5e-0738-4794-b130-cc9a1e29084f" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Authentication and Authorization, Password Policy" + } + ], + "parts": [ + { + "id": "SENS.4.1.6_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Nutzende" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Arbeitsanweisung" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Weitergabe von personengebundenen Authentisierungsmitteln" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "untersagen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sensibilisierung für Nutzende SOLLTE die Weitergabe von personengebundenen Authentisierungsmitteln untersagen." + }, + { + "id": "SENS.4.1.6_gdn", + "name": "guidance", + "prose": "Personengebundene Authentisierungsmittel sind z.B. Passwörter, Private PKI-Schlüssel oder Mehr-Faktor-Authentifizierungstoken wie Smartcards." + } + ] + } + ] + }, + { + "id": "SENS.4.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Mehrfachnutzung von Zugängen", + "props": [ + { + "name": "alt-identifier", + "value": "4ee04b8f-c620-4fe0-aa8d-928407cbbd2d" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "links": [ + { + "href": "#BER.3.15", + "rel": "related" + } + ], + "parts": [ + { + "id": "SENS.4.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Nutzende" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Schulungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "gegen die Nutzung eines Zugangskontos durch mehrere Personen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "sensibilisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sensibilisierung für Nutzende SOLLTE gegen die Nutzung eines Zugangskontos durch mehrere Personen sensibilisieren." + }, + { + "id": "SENS.4.2_gdn", + "name": "guidance", + "prose": "Insbesondere ist die Nutzung eines Benutzerkontos auf einem Endgerät durch mehrere natürliche Personen problematisch." + } + ] + }, + { + "id": "SENS.4.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Abmelden nach Nutzung", + "props": [ + { + "name": "alt-identifier", + "value": "53963d32-edfa-47d4-99ef-1fcb41f00aa8" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + } + ], + "parts": [ + { + "id": "SENS.4.3_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Nutzende" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Schulungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "zum Abmelden" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "nach Nutzung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "sensibilisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sensibilisierung für Nutzende SOLLTE zum Abmelden nach Nutzung sensibilisieren." + }, + { + "id": "SENS.4.3_gdn", + "name": "guidance", + "prose": "Bleibt eine Sitzung unbeaufsichtigt angemeldet, könnte dies ausgenutzt werden, um Daten zu manipulieren, zu kopieren oder unbemerkt schädliche Aktionen auszuführen. Ein solches Risiko könnte z.B. in offenen Büroflächen, gemeinsam genutzten Arbeitsplätzen oder bei externen Einsätzen entstehen, etwa wenn jemand kurz den Platz verlässt und ein Dritter die Gelegenheit nutzt, um sensible Unterlagen herunterzuladen oder interne Kommunikationskanäle zu durchsuchen. Dies beinhaltet auch die Sperrung des genutzten IT-Systems nach Nutzung. „Abmelden“ bedeutet in diesem Kontext das gezielte Beenden einer aktiven Benutzeranmeldung – etwa durch Ausloggen aus einer Anwendung, Sperren des Betriebssystems oder Abmelden von einem Fernzugriff –, sodass keine offenen Berechtigungen mehr genutzt werden können. Technische Hinweise wie Tastenkombinationen zum schnellen Sperren des Bildschirms oder kurze Anleitungen für den Logout-Prozess in wichtigen Fachanwendungen können in der Nähe von Arbeitsplätzen, auf Intranetseiten oder in E-Learning-Modulen platziert werden, um die Erinnerung daran wachzuhalten." + } + ] + } + ] + }, + { + "id": "SENS.5", + "title": "Umgang mit Informationen", + "props": [ + { + "name": "label", + "value": "5" + }, + { + "name": "alt-identifier", + "value": "0ff0f2da-afe5-49eb-825b-59c101cb39c0" + } + ], + "controls": [ + { + "id": "SENS.5.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Datenablage", + "props": [ + { + "name": "alt-identifier", + "value": "283ea65f-9ace-452c-a2be-38a5c58d3fb3" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "SENS.5.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Nutzende" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Schulungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "zum Einhalten einer strukturierten Datenablage" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "sensibilisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sensibilisierung für Nutzende SOLLTE zum Einhalten einer strukturierten Datenablage sensibilisieren." + }, + { + "id": "SENS.5.1_gdn", + "name": "guidance", + "prose": "Eine strukturierte Datenablage ist eine systematische Organisation von Daten in einer definierten Struktur, z.B. Aktenbestandverzeichnis, Content-Management-System. Dies ist wichtig für eine zentrale Zugriffssteuerung, Datensicherung und effiziente Suche." + } + ] + }, + { + "id": "SENS.5.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Weitergabe von Informationen", + "props": [ + { + "name": "alt-identifier", + "value": "a59c2b01-6240-49ef-b608-a9e3d07476c6" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Advanced Persistent Threats (APT)" + } + ], + "links": [ + { + "href": "#ASST.3.1.1", + "rel": "related" + } + ], + "parts": [ + { + "id": "SENS.5.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Nutzende, Informationen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Schulungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "zu den Voraussetzungen der Weitergabe von Informationen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "sensibilisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sensibilisierung für Nutzende von Informationen SOLLTE zu den Voraussetzungen der Weitergabe von Informationen sensibilisieren." + }, + { + "id": "SENS.5.2_gdn", + "name": "guidance", + "prose": "Als \"Voraussetzungen der Weitergabe\" werden die rechtlichen, vertraglichen, technischen und organisatorischen Bedingungen verstanden, die vor der Übermittlung von Informationen an interne oder externe Empfänger erfüllt sein müssen, um Vertraulichkeit und Compliance zu gewährleisten. So werden unkontrollierte Informationslecks und Compliance-Verletzungen verhindert, indem ein Bewusstsein für die Voraussetzungen geschaffen wird, unter denen Informationen an Dritte übermittelt werden dürfen. Hierzu gehört insbesondere, welche Kategorien von Informationen (z.B. Kundendaten) welchen internen und externen Personengruppen (z.B. Dienstleister) über welche Kommunikationskanäle (z.B. E-Mail, telefonisch) unter welchen Voraussetzungen (z.B. Nennung des Kundenkennwortes) weitergegeben werden dürfen." + } + ] + }, + { + "id": "SENS.5.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Weitergabe von Erreichbarkeiten", + "props": [ + { + "name": "alt-identifier", + "value": "8469fae0-3bd3-41d2-a323-af26619e62d2" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "parts": [ + { + "id": "SENS.5.3_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Nutzende" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Arbeitsanweisung" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Veröffentlichung oder Weitergabe von Erreichbarkeiten an unbefugte Dritte" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "untersagen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Sensibilisierung für Nutzende KANN die Veröffentlichung oder Weitergabe von Erreichbarkeiten an unbefugte Dritte untersagen." + }, + { + "id": "SENS.5.3_gdn", + "name": "guidance", + "prose": "Dient dem Schutz vor Social Engineering-Angriffen und der Minimierung von Angriffsflächen durch Informationspreisgabe. Erreichbarkeiten umfassen dabei alle Kontaktinformationen wie Telefonnummern, E-Mail-Adressen, Instant-Messaging-Handles, interne Durchwahlen oder physische Standortangaben von Mitarbeitenden, die Angreifer für gezielte Phishing-Kampagnen, Vishing-Anrufe oder physische Infiltrationsversuche nutzen könnten. Ein Vorfall könnte z.B. entstehen, wenn eine Direktwahl des IT-Betriebs in sozialen Netzwerken preisgegeben wird und Angreifer diese für Pretexting nutzen, um sich als IT-Support auszugeben und Zugangsdaten zu erschleichen, oder wenn durch die Veröffentlichung von Abteilungsstrukturen mit einzelnen Kontaktdaten Angreifer gezielt Führungskräfte für CEO-Fraud identifizieren könnten." + } + ] + }, + { + "id": "SENS.5.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Rest- und Zusatzdaten", + "props": [ + { + "name": "alt-identifier", + "value": "ff7cc34b-1d15-42f0-8d2d-2c9dd77d6474" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + } + ], + "parts": [ + { + "id": "SENS.5.4_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Nutzende" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Schulungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "zur Vermeidung oder Entfernung von Rest- und Zusatzdaten" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "vor dem Versand" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "sensibilisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sensibilisierung für Nutzende SOLLTE zur Vermeidung oder Entfernung von Rest- und Zusatzdaten vor dem Versand sensibilisieren." + }, + { + "id": "SENS.5.4_gdn", + "name": "guidance", + "prose": "Rest- und Zusatzinformationen sind z.B. die Metadatenfelder in Office- oder PDF-Dateien, sowie die Änderungshistorie." + } + ] + }, + { + "id": "SENS.5.5", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Löschfristen", + "props": [ + { + "name": "alt-identifier", + "value": "7aed1f72-5233-44dd-8531-b23337c89691" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Password Policy" + } + ], + "links": [ + { + "href": "#ASST.7.2", + "rel": "required" + }, + { + "href": "#ASST.7.3", + "rel": "related" + } + ], + "parts": [ + { + "id": "SENS.5.5_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Nutzende" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Arbeitsanweisung" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "zum Löschen oder Vernichten" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "nach Ablauf der festgelegten Löschfristen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "anweisen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sensibilisierung für Nutzende SOLLTE zum Löschen oder Vernichten nach Ablauf der festgelegten Löschfristen anweisen." + }, + { + "id": "SENS.5.5_gdn", + "name": "guidance", + "prose": "Werden sensible Informationen über die erforderliche Dauer hinaus gespeichert, könnte die Institution unnötigen Haftungsrisiken ausgesetzt sein – beispielsweise könnte eine Datenschutzbehörde Bußgelder verhängen, wenn personenbezogene Daten entgegen gesetzlicher Vorgaben zu lange vorgehalten werden. Darüber hinaus könnten nicht rechtzeitig gelöschte Geschäftsgeheimnisse oder Kundendaten bei einem Sicherheitsvorfall in falsche Hände geraten, was zu Reputationsschäden, Vertrauensverlust bei Kunden oder sogar zu Wirtschaftsspionage führen kann. Dies ist insbesondere wichtig bei sensiblen Daten wie Passwörtern im Passwortmanager oder Bankzugangsdaten in einer Kundendatenbank. Relevant ist dabei auch das Verständnis dafür, welche Löschfristen für welche Kategorien von Informationen konkret festgelegt sind und wie die Löschung oder Vernichtung vorzunehmen ist. Zu Details der Vorgehensweise siehe auch Praktik \"Informations- und Assetmanagement\". Dies gilt auch für den Umgang mit physischen Medien und auch an anderen Standorten, wie z.B. am Mobilen Arbeitsplatz." + } + ] + }, + { + "id": "SENS.5.6", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Papiervernichtung", + "props": [ + { + "name": "alt-identifier", + "value": "72ed03a1-0f7d-49af-ab2b-39a1b73e9b49" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + } + ], + "parts": [ + { + "id": "SENS.5.6_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Nutzende" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Schulungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "zum Vernichten vertraulicher Dokumente" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "nach Ablauf der Löschfrist" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "sensibilisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sensibilisierung für Nutzende SOLLTE zum Vernichten vertraulicher Dokumente nach Ablauf der Löschfrist sensibilisieren." + }, + { + "id": "SENS.5.6_gdn", + "name": "guidance", + "prose": "Gemäß ISO/IEC 21964-2 existieren unterschiedliche Sicherheitsstufen für Vernichtung. Die Granularität der Vernichtung richtet sich dabei nach dem Schutzbedarf der Daten. Sinnvoll ist es daher, das Vorgehen zur Vernichtung an der Einstufung der Daten auszurichten." + } + ] + } + ] + }, + { + "id": "SENS.6", + "title": "Umgang mit Datenträgern", + "props": [ + { + "name": "label", + "value": "6" + }, + { + "name": "alt-identifier", + "value": "44a2f01e-7bc2-4530-aa6f-edd721cb4cd9" + } + ], + "controls": [ + { + "id": "SENS.6.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Scan angenommener Wechseldatenträger", + "props": [ + { + "name": "alt-identifier", + "value": "a2cc232d-ff51-45f0-bfe3-be82d53ca390" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + } + ], + "links": [ + { + "href": "#SENS.2.4", + "rel": "related" + } + ], + "parts": [ + { + "id": "SENS.6.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Nutzende" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Arbeitsanweisung" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "zum Virenscan angenommener Wechseldatenträger" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "anweisen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sensibilisierung für Nutzende SOLLTE zum Virenscan angenommener Wechseldatenträger anweisen." + }, + { + "id": "SENS.6.1_gdn", + "name": "guidance", + "prose": "Datenträger, wie USB-Sticks aus unbekannten oder externen Quellen, können Schadprogramme enthalten. Der Virenscan kann durch eine Datenträgerschleuse oder durch eine Virenprüfung im IT-System selbst umgesetzt werden." + } + ] + }, + { + "id": "SENS.6.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Verschlüsselung", + "props": [ + { + "name": "alt-identifier", + "value": "ff90bcf5-8c4a-4329-b453-6e77b235687d" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Physical Access Control" + } + ], + "links": [ + { + "href": "#SENS.2.4", + "rel": "related" + } + ], + "parts": [ + { + "id": "SENS.6.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Nutzende" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Arbeitsanweisung" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "zum Verschlüsseln von Wechseldatenträgern" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "anweisen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sensibilisierung für Nutzende SOLLTE zum Verschlüsseln von Wechseldatenträgern anweisen." + }, + { + "id": "SENS.6.2_gdn", + "name": "guidance", + "prose": "Falls Wechseldatenträger zum Austausch vertraulicher Daten verwendet werden, so sind diese vor der ersten Verwendung vollständig zu verschlüsseln. Die Verschlüsselung kann in Hard- oder Software, oder auf Dateiebene erfolgen." + } + ] + } + ] + }, + { + "id": "SENS.7", + "title": "Umgang mit spezifischen Zielobjekten", + "props": [ + { + "name": "label", + "value": "7" + }, + { + "name": "alt-identifier", + "value": "364dfb41-a2c3-439e-8e80-a65d7ff4a41e" + } + ], + "controls": [ + { + "id": "SENS.7.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Spezifische Sensibilisierung", + "props": [ + { + "name": "alt-identifier", + "value": "d988364a-6e20-4f5f-ae5c-dacae6b26cd6" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + } + ], + "parts": [ + { + "id": "SENS.7.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Nutzende" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Schulungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "zu zielobjektspezifischen Schutzmaßnahmen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "zielgruppengerecht" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "sensibilisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sensibilisierung für Nutzende SOLLTE zu zielobjektspezifischen Schutzmaßnahmen zielgruppengerecht sensibilisieren." + }, + { + "id": "SENS.7.1_gdn", + "name": "guidance", + "prose": "Kann dazu beitragen, dass Personen Risiken, die mit ihrer konkreten Tätigkeit, ihrem Arbeitsumfeld oder den von ihnen genutzten Systemen verbunden sind, frühzeitig erkennen und angemessen reagieren können. Ziel ist es auf die spezifischen Schutzbedarfe der jeweiligen Zielobjekte – wie z. B. bestimmte IT-Systeme, Produktionsanlagen, Forschungsdaten oder vertrauliche Kundeninformationen – aufmerksam zu machen. Dazu können sowohl technische als auch organisatorischen Schutzmaßnahmen gehören. Der Begriff „zielgruppengerecht“ meint dabei, dass Inhalte in einer Form, Tiefe und Sprache bereitgestellt werden, die für die jeweiligen Nutzenden verständlich, relevant und handlungsnah sind. Für die Zielgruppengerechtigkeit ist eine Zielgruppenanalyse zweckmäßig. Die Schutzmaßnahmen ergeben sich aus der konkreten Implementierung der Anforderungen durch die Institution." + } + ] + }, + { + "id": "SENS.7.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Virenscan", + "props": [ + { + "name": "alt-identifier", + "value": "b791d70f-b022-4a9e-bcf1-e4406c441981" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "SENS.7.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Nutzende, Interpersonelle Kommunikation" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Schulungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "zum Virenscan von Dateien aus externen Quellen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "sensibilisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sensibilisierung für Nutzende von Interpersoneller Kommunikation SOLLTE zum Virenscan von Dateien aus externen Quellen sensibilisieren." + }, + { + "id": "SENS.7.2_gdn", + "name": "guidance", + "prose": "Dateien aus externen Quellen (z.B. per E-Mail oder Messenger) könnten Schadprogramme enthalten. Bevor diese Dateien geöffnet oder anderweitig verarbeitet werden, ist eine Überprüfung mit einem Virenschutzprogramm oder einem dafür vorgesehenen Prüfsystem (z.B. Datenträgerschleuse) vorzunehmen." + } + ] + }, + { + "id": "SENS.7.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Automatische Antworten", + "props": [ + { + "name": "alt-identifier", + "value": "534179b0-fccb-42b5-95b3-e0d5a1778dec" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + } + ], + "parts": [ + { + "id": "SENS.7.3_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Nutzende, Interpersonelle Kommunikation" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Schulungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "gegen die Ausgabe vertraulicher Daten durch AutoReply-Funktionen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "sensibilisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sensibilisierung für Nutzende von Interpersoneller Kommunikation SOLLTE gegen die Ausgabe vertraulicher Daten durch AutoReply-Funktionen sensibilisieren." + }, + { + "id": "SENS.7.3_gdn", + "name": "guidance", + "prose": "AutoReply-Funktionen – etwa automatische Abwesenheitsnotizen oder Standardantworten in E-Mail- oder Messaging-Systemen – könnten unbeabsichtigt vertrauliche Informationen an unberechtigte Empfänger preisgeben. In der Praxis könnte dies dazu führen, dass sensible Projektdetails, interne Kontaktdaten oder Hinweise auf Abwesenheiten an Angreifer gelangen, die solche Informationen gezielt zur Planung von Social-Engineering-Angriffen oder zur Umgehung von Sicherheitsmaßnahmen nutzen. Im Kontext dieser Anforderung bezeichnet „AutoReply“ die automatische Generierung und Versendung von Nachrichten durch Kommunikationssysteme ohne aktives Zutun der nutzenden Person, typischerweise ausgelöst durch eingehende Nachrichten." + } + ] + }, + { + "id": "SENS.7.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "SPAM - Löschen oder Melden", + "props": [ + { + "name": "alt-identifier", + "value": "93be24dd-88cd-4b1a-b86a-45febc987a4c" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Advanced Persistent Threats (APT)" + } + ], + "links": [ + { + "href": "#SENS.2.2", + "rel": "required" + } + ], + "parts": [ + { + "id": "SENS.7.4_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Nutzende, Interpersonelle Kommunikation" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Schulungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "zum Löschen oder Melden von SPAM" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "sensibilisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sensibilisierung für Nutzende von Interpersoneller Kommunikation SOLLTE zum Löschen oder Melden von SPAM sensibilisieren." + }, + { + "id": "SENS.7.4_gdn", + "name": "guidance", + "prose": "Spam – also unerwünschte, oft massenhaft versendete Nachrichten – könnte nicht nur den Posteingang überfluten und Arbeitszeit binden, sondern häufig auch Schadsoftware, Phishing-Links oder betrügerische Inhalte enthalten. Werden solche Nachrichten unbeachtet geöffnet oder beantwortet, könnte dies beispielsweise zu einer unbemerkten Offenlegung vertraulicher Informationen, zur Infektion von Endgeräten oder zur Kompromittierung von Benutzerkonten führen. Spam in E-Mails, Chat-Apps oder SMS kann oft an einer Kombination auffälliger Merkmale erkannt werden: (1) unerwartete oder anonyme Absender, (2) untypische Schreibweisen des Namens oder der Adresse, (3) drängender oder alarmierender Tonfall („sofort handeln“), (4) Links mit ungewöhnlichen oder verkürzten Domains, (5) fehlerhafte oder maschinell wirkende Sprache, (6) unpassende Dateianhänge oder Bilddateien sowie (7) Inhalte, die nicht zum bisherigen Kontext der Kommunikation passen. In Chat-Apps und SMS können zudem (8) fremdsprachige Nachrichten ohne Bezug, (9) Einladungen zu unbekannten Gruppen oder (10) Aufforderungen, auf externe Links zu klicken, verdächtig wirken. Das bewusste Hinterfragen solcher Signale kann helfen, Spam frühzeitig zu erkennen und unschädlich zu machen." + } + ] + }, + { + "id": "SENS.7.5", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "SPAM - Nichtbeantwortung", + "props": [ + { + "name": "alt-identifier", + "value": "0711ec2e-61da-4448-bcc8-464b41154ff1" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "1" + } + ], + "parts": [ + { + "id": "SENS.7.5_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Nutzende, Interpersonelle Kommunikation" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Schulungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "zum Nichtbeantworten von SPAM" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "sensibilisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sensibilisierung für Nutzende von Interpersoneller Kommunikation SOLLTE zum Nichtbeantworten von SPAM sensibilisieren." + }, + { + "id": "SENS.7.5_gdn", + "name": "guidance", + "prose": "Das Nichtbeantworten von Spam kann dazu beitragen, die eigene Angriffsfläche zu verringern und das Risiko von Folgeschäden zu minimieren. Spam – im Kontext hier als unerwünschte, massenhaft versendete elektronische Nachrichten verstanden, die oft mit betrügerischen oder schädigenden Absichten einhergehen – kann als Einfallstor für Phishing, Schadsoftware oder Betrugsversuche dienen. Eine Antwort, selbst in Form einer scheinbar harmlosen Rückfrage, kann Angreifenden bestätigen, dass die Adresse aktiv genutzt wird, was zu einer Zunahme der Spam-Flut oder gezielten Social-Engineering-Angriffen führen könnte. Spammer erraten Zieladressen oft nur und erhalten durch die Antwort weitere Hinweise auf Angriffsmöglichkeiten (z.B. Schema gültiger Mailadressen, E-Mail-Signaturen, aktive Server)." + } + ] + }, + { + "id": "SENS.7.6", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "SPAM - Links", + "props": [ + { + "name": "alt-identifier", + "value": "bee9f242-644f-40f5-be85-a699c8c383eb" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "1" + } + ], + "parts": [ + { + "id": "SENS.7.6_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Nutzende, Interpersonelle Kommunikation" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Schulungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "gegen das Öffnen von Links in SPAM" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "sensibilisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sensibilisierung für Nutzende von Interpersoneller Kommunikation SOLLTE gegen das Öffnen von Links in SPAM sensibilisieren." + }, + { + "id": "SENS.7.6_gdn", + "name": "guidance", + "prose": "Spam kann Phishing-Versuche enthalten, die zur Preisgabe sensibler Zugangsdaten verleiten, oder auf Webseiten führen, die Schadsoftware ausliefern. Angreifer versuchen oft, ihre Opfer zum unerwarteten Aufruf von Internetseiten zu drängen und nutzen täuschend echt aussehende Webseiten um Zugangsdaten oder IBAN-Nummern abzufischen. Im Zweifelsfall ist es sinnvoll stattdessen sinnvoll, Rücksprache über andere, bereits bekannte Erreichbarkeiten (z.B. Telefonnummer, bekannter Link im Intranet) zu halten und die Echtheit der Nachricht zu verifizieren, oder über die Meldewege einen potenziellen Vorfall zu melden." + } + ] + }, + { + "id": "SENS.7.7", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "SPAM - Anhänge", + "props": [ + { + "name": "alt-identifier", + "value": "5003cefa-020f-445f-8e23-4add09f63a47" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "1" + } + ], + "parts": [ + { + "id": "SENS.7.7_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Nutzende, Interpersonelle Kommunikation" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Schulungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "gegen das Öffnen von Anhängen in SPAM" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "sensibilisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sensibilisierung für Nutzende von Interpersoneller Kommunikation SOLLTE gegen das Öffnen von Anhängen in SPAM sensibilisieren." + }, + { + "id": "SENS.7.7_gdn", + "name": "guidance", + "prose": "Das Öffnens von Anhängen in unerwünschten oder verdächtigen Nachrichten könnte dazu führen, dass Schadsoftware in die Systeme einer Institution gelangt oder vertrauliche Informationen abfließen. Angreifer versuchen oft, ihre Opfer zum Öffnen von Dateien zu drängen und nutzen diese dann, um Schadprogramme auszuführen. Im Zweifelsfall ist es sinnvoll stattdessen sinnvoll, Rücksprache über andere, bereits bekannte Erreichbarkeiten (z.B. Telefonnummer, bekannter Link im Intranet) zu halten und die Echtheit der Nachricht zu verifizieren, oder über die Meldewege einen potenziellen Vorfall zu melden. Nützlich sind zudem kompakte Checklisten, die die wichtigsten Prüfkriterien vor dem Öffnen eines Anhangs aufführen, wie z. B. die Überprüfung der Absenderadresse, die Plausibilität des Inhalts und die Art der Datei." + } + ] + }, + { + "id": "SENS.7.8", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Gefälschte E-Mails", + "props": [ + { + "name": "alt-identifier", + "value": "94709673-e417-4e77-be9e-b17f47cce437" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "1" + } + ], + "parts": [ + { + "id": "SENS.7.8_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Nutzende, E-Mail" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Schulungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "zum Erkennen von gefälschten E-Mails" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "sensibilisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sensibilisierung für Nutzende von E-Mailn SOLLTE zum Erkennen von gefälschten E-Mails sensibilisieren." + }, + { + "id": "SENS.7.8_gdn", + "name": "guidance", + "prose": "Spam in E-Mails kann oft an einer Kombination auffälliger Merkmale erkannt werden: (1) unerwartete oder anonyme Absender, (2) untypische Schreibweisen des Namens oder der Adresse, (3) Absendernamen, der nicht zur Absender-Mailadresse passt, (4) drängender oder alarmierender Tonfall („sofort handeln“), (5) Links mit ungewöhnlichen oder verkürzten Domains, (6) fehlerhafte oder maschinell wirkende Sprache, (7) unpassende Dateianhänge oder Bilddateien sowie (8) Inhalte, die nicht zum bisherigen Kontext der Kommunikation passen." + } + ] + }, + { + "id": "SENS.7.9", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Aktive Inhalte", + "props": [ + { + "name": "alt-identifier", + "value": "d4253a3f-ba3b-4446-b6cc-bfbd9285eb27" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + } + ], + "links": [ + { + "href": "#KONF.12.1.11", + "rel": "related" + } + ], + "parts": [ + { + "id": "SENS.7.9_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Nutzende, Office-Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Schulungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "zur Überprüfung aktiver Inhalte vor der Aktivierung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "sensibilisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sensibilisierung für Nutzende von Office-Anwendungen SOLLTE zur Überprüfung aktiver Inhalte vor der Aktivierung sensibilisieren." + }, + { + "id": "SENS.7.9_gdn", + "name": "guidance", + "prose": "Office-Dateien mit aktiven Inhalten (z.B. Makros) können Schadprogramme enthalten. In diesem Kontext bedeutet „aktive Inhalte“ jegliche Funktionen in Office-Dokumenten, die über reine Text- oder Datenanzeige hinaus eigenständig Code ausführen oder externe Ressourcen ansprechen können. Bei unbekannten oder unerwarteten Dokumenten mit solchen Inhalten ist es sinnvoll, zunächst Rücksprache mit der absendenden Person zu halten, um die Echtheit des Dokumentes zu bestätigen und zu klären, ob die aktiven Inhalte für die Kommunikation zwingend erforderlich sind. Werden aktive Inhalte tatsächlich benötigt, so ist eine Prüfung des Quellcodes vor der Ausführung sinnvoll, die über die Meldewege angestoßen werden kann. Wurde für bestimmte aktive Inhalte bereits eine Freigabe erteilt, so kann deren erneute Prüfung bei jedem Öffnen des Dokumenten entfallen." + } + ] + }, + { + "id": "SENS.7.10", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Trennen nicht benötigter Anschlüsse", + "props": [ + { + "name": "alt-identifier", + "value": "2e5be22a-6fc5-49b3-ae53-66dc4105e058" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + } + ], + "parts": [ + { + "id": "SENS.7.10_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Nutzende, Virtualisierungslösungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Schulungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "zum Trennen nicht benötigter Verbindungen zwischen Host und virtuellem Gast" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "sensibilisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sensibilisierung für Nutzende von Virtualisierungslösungen SOLLTE zum Trennen nicht benötigter Verbindungen zwischen Host und virtuellem Gast sensibilisieren." + }, + { + "id": "SENS.7.10_gdn", + "name": "guidance", + "prose": "Werden unnötige Verbindungen zwischen Host und Gast nicht getrennt, könnte dies zu unautorisiertem Zugriff auf Daten oder Systeme führen, etwa wenn eine Malware aus dem Gast Zugriff auf Host-Ressourcen erhält oder wenn sensible Dateien versehentlich zwischen beiden Umgebungen ausgetauscht werden. Durch eine saubere Trennung kann das Risiko seitlicher Bewegungen innerhalb der IT-Infrastruktur verringert werden und die Integrität einzelner Arbeitsumgebungen kann erhalten bleiben. Dies betrifft z.B. angeschlossene Geräte und Schnittstellen wie Drucker, USB-Sticks oder auch die Netzanbindung. Auch einfache Checklisten für IT-Personal und Nutzende können helfen, das Bewusstsein zu stärken, dass Komfortfunktionen wie „Drag & Drop“ zwischen Host und Gast zwar praktisch erscheinen, aber potenziell eine unnötige Angriffsfläche eröffnen können." + } + ] + }, + { + "id": "SENS.7.11", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Heimliche Aufzeichnung", + "props": [ + { + "name": "alt-identifier", + "value": "e5552e03-45ba-4bd4-8022-c4d46eb1c856" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + } + ], + "parts": [ + { + "id": "SENS.7.11_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Nutzende, VK-Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Schulungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "gegen die heimliche Bild- oder Tonaufzeichnung" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "bei einer Videokonferenz" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "sensibilisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sensibilisierung für Nutzende von VK-Anwendungen SOLLTE gegen die heimliche Bild- oder Tonaufzeichnung bei einer Videokonferenz sensibilisieren." + }, + { + "id": "SENS.7.11_gdn", + "name": "guidance", + "prose": "Heimliche Aufzeichnungen verletzen die Vertraulichkeit der Kommunikation. Eine Aufzeichnung von Wort und Bild ohne den Willen der Aufgezeichneten kann zudem eine Persönlichkeitsrechtverletzung bis hin zur Straftat (§ 201 StGB) darstellen. Dies gilt auch für Aufzeichnungen, die KI-gestützt ausgewertet werden." + } + ] + }, + { + "id": "SENS.7.12", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Öffentliche WLANs", + "props": [ + { + "name": "alt-identifier", + "value": "172adca9-01ae-4e68-815d-eff8157dab27" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "SENS.7.12_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Nutzende, Endgeräte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Schulungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "gegen die Risiken der Nutzung öffentlicher WLANs" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "sensibilisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sensibilisierung für Nutzende von Endgeräten SOLLTE gegen die Risiken der Nutzung öffentlicher WLANs sensibilisieren." + }, + { + "id": "SENS.7.12_gdn", + "name": "guidance", + "prose": "„Öffentliches WLAN“ meint frei zugängliche oder nur schwach kontrollierte Funknetze, deren Betreiber, Konfiguration und Schutzmechanismen unbekannt sind. In öffentlichen WLANs übertragenen Datenverkehr könnte von Dritten abgefangen werden. Angriffe wie Man-in-the-Middle, gefälschte Hotspots (Evil Twins), Session-Hijacking oder Phishing über Captive Portals könnten zu Kontoübernahmen, Datenabfluss oder Schadsoftware führen. Dies gilt auch dann, wenn das WLAN verschlüsselt ist." + } + ] + }, + { + "id": "SENS.7.13", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Unverschlüsselte WLANs", + "props": [ + { + "name": "alt-identifier", + "value": "b0c8ba84-b24f-4209-a739-ea13c2aea349" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + } + ], + "parts": [ + { + "id": "SENS.7.13_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Nutzende, Endgeräte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Schulungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "gegen die Risiken der Nutzung unverschlüsselter WLANs" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "sensibilisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sensibilisierung für Nutzende von Endgeräten SOLLTE gegen die Risiken der Nutzung unverschlüsselter WLANs sensibilisieren." + }, + { + "id": "SENS.7.13_gdn", + "name": "guidance", + "prose": "Ohne Verschlüsselung könnten die über WLAN übertragenen Daten abgehört werden, z.B. Zugangsdaten, Session-Hijacking, Umleitungen durch DNS-Spoofing oder „Evil-Twins“. Ebenso könnte Schadcode über manipulierte Update-Kanäle oder Portalseiten eingeschleust werden. Im Kontext dieser Anforderung bedeutet „unverschlüsseltes WLAN“ offene Wi-Fi-Netze ohne WPA2/WPA3-Schutz, bei denen ein Captive Portal allein keine Funkstreckenverschlüsselung bereitstellt." + } + ] + }, + { + "id": "SENS.7.14", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Unautorisierte WLANs", + "props": [ + { + "name": "alt-identifier", + "value": "007d7888-bcc0-4595-b448-f178962c609f" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "links": [ + { + "href": "#ASST.4.1", + "rel": "required" + } + ], + "parts": [ + { + "id": "SENS.7.14_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Nutzende, Endgeräte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Arbeitsanweisung" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Nutzung unautorisierter WLANs" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "untersagen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Sensibilisierung für Nutzende von Endgeräten KANN die Nutzung unautorisierter WLANs untersagen." + }, + { + "id": "SENS.7.14_gdn", + "name": "guidance", + "prose": "Zwar sind immer mehr Verbindungen automatisch verschlüsselt, dennoch bergen WLAN-Verbindungen außerhalb der Institution das Risiko, dass Verbindungsdaten abgefangen oder IT-Systeme angegriffen werden." + } + ] + }, + { + "id": "SENS.7.15", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Social Engineering Anrufe", + "props": [ + { + "name": "alt-identifier", + "value": "6f6dcfa4-7c22-4e39-a1a2-c88ed0e9ee74" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "1" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Advanced Persistent Threats (APT)" + } + ], + "parts": [ + { + "id": "SENS.7.15_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Nutzende, TK-Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Schulungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "gegen Social Engineering Anrufe" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "sensibilisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sensibilisierung für Nutzende von TK-Anwendungen SOLLTE gegen Social Engineering Anrufe sensibilisieren." + }, + { + "id": "SENS.7.15_gdn", + "name": "guidance", + "prose": "Social Engineering bezeichnet in diesem Zusammenhang die bewusste Täuschung oder Beeinflussung einer Person, um sie zu Handlungen zu bewegen, die im Interesse des Angreifenden liegen, beispielsweise das Preisgeben von Passwörtern, internen Abläufen oder technischen Zugangsdaten. Ein Angriff könnte sich etwa darin äußern, dass sich eine Person am Telefon glaubhaft als IT-Support, Vorgesetzte oder externe Partnerin ausgibt, um den Eindruck einer legitimen Anfrage zu erwecken. Solche Vorfälle könnten zu unbefugtem Zugriff auf interne Systeme, zum Auslösen von Störungen oder zur Vorbereitung weiterer Angriffe führen. Typischerweise sind solche Anrufe daran zu erkennen, dass von unbekannten Personen zu unüberlegten Handlungen gedrängt wird. Hiergegen hilft es, den Gesprächspartner zunächst zu authentifizieren, bevor über Vertrauliches gesprochen oder Handlungen angestoßen werden. Angezeigte Rufnummern oder Nutzernamen könnten dagegen manipuliert sein (Caller ID Spoofing) - sie sind zur Authentifizierung des Gesprächspartners eher nicht geeignet. Das Mithören Dritter ist hier insbesondere im öffentlichen Raum zu bedenken, kann aber auch bei unverschlüsselten Verbindungen auftreten oder beim Gesprächspartner." + } + ] + }, + { + "id": "SENS.7.16", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Mailbox-PIN und Co.", + "props": [ + { + "name": "alt-identifier", + "value": "9721c369-8d8a-4c8f-9a32-3e25b2003359" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + } + ], + "parts": [ + { + "id": "SENS.7.16_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Nutzende, TK-Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Schulungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "zur Vergabe eigener Zugangsdaten zum Zugriff auf Aufzeichnungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "sensibilisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sensibilisierung für Nutzende von TK-Anwendungen SOLLTE zur Vergabe eigener Zugangsdaten zum Zugriff auf Aufzeichnungen sensibilisieren." + }, + { + "id": "SENS.7.16_gdn", + "name": "guidance", + "prose": "Der Begriff Zugangsdaten bezeichnet in diesem Kontext die für den Zugriff auf gespeicherte Aufzeichnungen notwendigen Authentisierungsinformationen, wie Passwörter, PINs oder Zugangstokens. Aufzeichnungen sind hierbei gespeicherte Mitschnitte oder Protokolle von Kommunikationssitzungen in TK-Anwendungen (z. B. Mailbox, Sprach-, Video- oder Chat-Verläufe), sofern deren Speicherung aktiviert wurde. Verfügt der Server über keine Funktion zum Speichern von Sprachaufzeichnungen (z.B. Voice-Mailbox mit PIN oder Gesprächsaufzeichnung bei Tastendruck) oder ist diese deaktiviert, so ist die Anforderung entbehrlich." + } + ] + }, + { + "id": "SENS.7.17", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Unverschlüsseltes Telefonieren", + "props": [ + { + "name": "alt-identifier", + "value": "789dbb4e-30fe-46ce-822c-06965e00f9c8" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + } + ], + "links": [ + { + "href": "#ASST.4.1", + "rel": "related" + } + ], + "parts": [ + { + "id": "SENS.7.17_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Nutzende, TK-Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Schulungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "gegen die Kommunikation über unverschlüsselte Telekommunikationsverbindungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "sensibilisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sensibilisierung für Nutzende von TK-Anwendungen SOLLTE gegen die Kommunikation über unverschlüsselte Telekommunikationsverbindungen sensibilisieren." + }, + { + "id": "SENS.7.17_gdn", + "name": "guidance", + "prose": "Hilfreich ist es hierbei darüber zu informieren, zu welchen Empfängerkreisen mit welchem Schutzniveau über welche Anwendungen kommuniziert werden kann. Telefonie über das öffentliche Telefonnetz ist noch immer häufig unverschlüsselt, während z.B. viele moderne Messenger-Apps eine Ende-zu-Ende-Verschlüsselung ermöglichen. Relevant ist dabei auch der Aufbau von Konferenzschaltungen: Wählt sich z.B. ein Teilnehmer über das öffentliche Telefonnetz ein, so ist diese Verbindung typischerweise unverschlüsselt, wodurch die Gespräche aller Konferenzteilnehmer abgehört werden können, auch wenn die anderen Teilnehmer über eine verschlüsselte Verbindung in der Konferenz sind." + } + ] + }, + { + "id": "SENS.7.18", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Mobiltelefone in Sicherheitsbereichen", + "props": [ + { + "name": "alt-identifier", + "value": "d657ce0c-6970-4955-9452-d538a3fded99" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "links": [ + { + "href": "#GEB.4.1", + "rel": "required" + }, + { + "href": "#DET.4.19", + "rel": "related" + } + ], + "parts": [ + { + "id": "SENS.7.18_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Nutzende, Mobiltelefone" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Arbeitsanweisung" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "das Mitführen von Mobiltelefonen in Sicherheitsbereichen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "untersagen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Sensibilisierung für Nutzende von Mobiltelefonen KANN das Mitführen von Mobiltelefonen in Sicherheitsbereichen untersagen." + }, + { + "id": "SENS.7.18_gdn", + "name": "guidance", + "prose": "Das Mitführen von Mobiltelefonen in besonders geschützten Bereichen kann untersagt werden, um das Risiko unbefugter Informationsabflüsse, unbeabsichtigter Datenaufzeichnungen oder unkontrollierter Funkübertragungen zu reduzieren. Mobiltelefone verfügen heute fast immer über hochauflösende Kameras, Mikrofone, GPS-Module und vielfältige Funktechnologien (z. B. LTE, WLAN, Bluetooth), die sowohl gezielt als auch unbeabsichtigt vertrauliche Informationen erfassen und weitergeben können. So könnte etwa ein Besuchender in einem Forschungsbereich versehentlich sensible Projektdaten fotografieren, oder ein infiziertes Gerät könnte über eine Funkverbindung Schadsoftware ins interne Netz einschleusen. Auch unbeabsichtigte Sprachaufzeichnungen in Besprechungen, die durch Assistenzfunktionen aktiviert werden, könnten sicherheitskritische Informationen in Cloud-Dienste übertragen. Das Verbot oder die Einschränkung des Mitführens in bestimmten Bereichen kann daher ein wirksames Mittel sein, um die Angriffsfläche für Spionage, Sabotage oder unkontrollierte Datenverbreitung deutlich zu verringern." + } + ] + }, + { + "id": "SENS.7.19", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Unverschlüsselte SMS oder MMS", + "props": [ + { + "name": "alt-identifier", + "value": "99a4ed67-648c-4dfb-8fcf-2ce1b8a907db" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "parts": [ + { + "id": "SENS.7.19_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Nutzende, Mobiltelefone" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Arbeitsanweisung" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "den Versand von SMS oder MMS" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "untersagen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Sensibilisierung für Nutzende von Mobiltelefonen KANN den Versand von SMS oder MMS untersagen." + }, + { + "id": "SENS.7.19_gdn", + "name": "guidance", + "prose": "SMS und MMS werden in der Regel unverschlüsselt übertragen und daher nicht für sensible Informationen geeignet. Stattdessen kann oft auf verschlüsselte Anwendungen zurückgegriffen werden." + } + ] + }, + { + "id": "SENS.7.20", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Authentifzierung von Gesprächspartnern", + "props": [ + { + "name": "alt-identifier", + "value": "820687b2-4447-455d-9c9f-236c7333db82" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "1" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Advanced Persistent Threats (APT)" + } + ], + "parts": [ + { + "id": "SENS.7.20_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Nutzende, Informationen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Arbeitsanweisung" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "zur Authentifizierung von Gesprächspartnern vor der Weitergabe von Informationen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "sensibilisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sensibilisierung für Nutzende von Informationen SOLLTE zur Authentifizierung von Gesprächspartnern vor der Weitergabe von Informationen sensibilisieren." + }, + { + "id": "SENS.7.20_gdn", + "name": "guidance", + "prose": "Die Authentifizierung von Gesprächspartnern ist die verlässliche Verifikation der Identität einer Person, bevor vertrauliche oder schützenswerte Informationen mündlich, telefonisch oder über andere elektronische Kommunikationsmittel weitergegeben werden. Dazu gehört es insbesondere sicherzustellen, dass die anfragende Person tatsächlich diejenige ist, für die sie sich ausgibt („authentication of interlocutors“). Ziel ist es zu verhindern, dass unberechtigte Dritte durch Täuschung an vertrauliche Inhalte gelangen. Ohne diese Überprüfung könnten Angriffe wie Social Engineering, CEO-Fraud oder Phishing erfolgreich sein – ein Angreifer könnte sich z. B. am Telefon als interner Kollege, vertrauter Dienstleister oder sogar als Behördenvertreter ausgeben, um Zugang zu Kundenlisten, Zugangsdaten oder Projektplänen zu erhalten. Dies gilt insbesondere am Telefon, aber auch in persönlichen Gesprächen mit Unbekannten. Sinnvoll ist es, hierzu ein einheitliches Verfahren zu etablieren, bei dem vor Auskunftserteilung anfragende Personen durch gezielte Rückfragen oder Vergleich mit bekannten Kontaktdaten überprüft werden. Beispiele können sein: (1) Rückruf unter der im internen Verzeichnis hinterlegten Telefonnummer, (2) Abgleich spezifischer interner Referenzen oder Codes, (3) Nachfrage nach Details, die nur legitim Berechtigte kennen können (z.B. Aktenzeichen), oder (4) die Nutzung anderer sicherer Kommunikationskanäle, die bereits für die jeweilige Person verifiziert wurden." + } + ] + }, + { + "id": "SENS.7.21", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Rechtsunsicherheit von Faxen", + "props": [ + { + "name": "alt-identifier", + "value": "19a80332-263d-421d-927c-2d99ad0ce9c0" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + } + ], + "parts": [ + { + "id": "SENS.7.21_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Nutzende, Faxe" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Schulungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "gegen die Rechtsunsicherheit bei Empfang oder Versand von Faxen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "sensibilisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sensibilisierung für Nutzende von Faxen SOLLTE gegen die Rechtsunsicherheit bei Empfang oder Versand von Faxen sensibilisieren." + }, + { + "id": "SENS.7.21_gdn", + "name": "guidance", + "prose": "Faxe enthalten nicht die originale, eigenhändige Unterschrift und erfüllen daher nicht die gesetzliche Schriftform (§ 126 BGB)." + } + ] + }, + { + "id": "SENS.7.22", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Unverschlüsselte Faxleitungen", + "props": [ + { + "name": "alt-identifier", + "value": "6de76a23-9301-4203-9561-c56f459b8a1f" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + } + ], + "parts": [ + { + "id": "SENS.7.22_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Nutzende, Faxe" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Schulungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "gegen die Risiken der unauthentisierten und unverschlüsselten Faxnutzung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "sensibilisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sensibilisierung für Nutzende von Faxen SOLLTE gegen die Risiken der unauthentisierten und unverschlüsselten Faxnutzung sensibilisieren." + }, + { + "id": "SENS.7.22_gdn", + "name": "guidance", + "prose": "Da Faxverbindungen in der Regel weder eine Authentifikation des Empfängers noch eine Transportverschlüsselung vornehmen, können diese leicht abgefangen oder manipuliert werden. Dem kann durch eine Ankündigung sowie eine Sende- und Empfangsbestätigung entgegengewirkt werden." + } + ] + }, + { + "id": "SENS.7.23", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Geolokation", + "props": [ + { + "name": "alt-identifier", + "value": "48be8fcc-4642-42b6-8a53-b8baf85f6b2a" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + } + ], + "parts": [ + { + "id": "SENS.7.23_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Nutzende, Endgeräte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Schulungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "über Standortbestimmungsfunktionen von mobilen Endgeräten" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "sensibilisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sensibilisierung für Nutzende von Endgeräten SOLLTE über Standortbestimmungsfunktionen von mobilen Endgeräten sensibilisieren." + }, + { + "id": "SENS.7.23_gdn", + "name": "guidance", + "prose": "Zum Beispiel könnten Webseiten über Schnittstellen von Webbrowsern auf Standort-Sensoren (GPS, Mobilfunk etc.) zugreifen. Auch Mobilfunkanbieter sind in der Lage, Geostandorte über das Mobilfunksignal zu erfassen." + } + ] + }, + { + "id": "SENS.7.24", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Zertifikatswarnungen", + "props": [ + { + "name": "alt-identifier", + "value": "777774af-92c0-41ee-8f3e-953b88ffd800" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + } + ], + "parts": [ + { + "id": "SENS.7.24_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Nutzende, Webbrowser" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Schulungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "gegen das unautorisierte Übergehen einer Zertifikatswarnung bei der Webnutzung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "sensibilisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sensibilisierung für Nutzende von Webbrowsern SOLLTE gegen das unautorisierte Übergehen einer Zertifikatswarnung bei der Webnutzung sensibilisieren." + }, + { + "id": "SENS.7.24_gdn", + "name": "guidance", + "prose": "Zeigt der Browser oder eine andere Anwendung eine Zertifikatswarnung an, dann besteht das Risiko, dass es sich um einen Angriff handelt. Im Zweifel ist es hier angebracht, über die bekannten Meldewege nachzufragen und den Zugang zu bestimmten Seiten oder Anwendungen autorisieren zu lassen." + } + ] + }, + { + "id": "SENS.7.25", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Zugang zum Fahrzeug", + "props": [ + { + "name": "alt-identifier", + "value": "9cb473cd-cf71-4fe4-9ccd-b527f1a353ab" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Physical Access Control" + } + ], + "links": [ + { + "href": "#ASST.3.10", + "rel": "required" + } + ], + "parts": [ + { + "id": "SENS.7.25_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Nutzende, Fahrzeuge" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Schulungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "zu Schutzmaßnahmen vor dem Zugang Unbefugter zu Fahrzeugen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "sensibilisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sensibilisierung für Nutzende von Fahrzeugen SOLLTE zu Schutzmaßnahmen vor dem Zugang Unbefugter zu Fahrzeugen sensibilisieren." + }, + { + "id": "SENS.7.25_gdn", + "name": "guidance", + "prose": "Kann dazu beitragen, unbefugte Nutzung, Manipulation oder Diebstahl von Fahrzeugen und deren Ausrüstung zu verhindern. Dies ist besonders relevant, wenn Fahrzeuge sensible Materialien, technische Geräte, vertrauliche Unterlagen oder digitale Speichermedien enthalten, die bei ungeschütztem Zugang in falsche Hände geraten könnten. Ein unachtsig abgestelltes und nicht verriegeltes Fahrzeug könnte beispielsweise dazu führen, dass wertvolle Ausrüstung entwendet, ein GPS-System manipuliert oder vertrauliche Einsatzpläne aus dem Handschuhfach entnommen werden. Auch das Auslesen elektronischer Schnittstellen (z. B. OBD-Port) könnte möglich sein, wenn ein Fahrzeug ungesichert ist. Im Kontext dieser Anforderung bedeutet „Unbefugte“ jede Person, die nicht ausdrücklich durch die Institution autorisiert ist, Zugang zum Fahrzeug oder dessen Inhalten zu erlangen; „Zugang“ umfasst dabei sowohl den physischen Einstieg in das Fahrzeug als auch den Zugriff auf dessen Inhalte oder elektronische Systeme. Die Umsetzung dieser Sensibilisierung kann beispielsweise beinhalten, dass Fahrzeug beim Verlassen stets zu verriegeln und wertvolle Gegenstände oder vertrauliche Unterlagen nicht sichtbar im Innenraum zu lassen. Auch das Aktivieren werkseitiger oder nachgerüsteter Alarmanlagen oder Wegfahrsperren ist sinnvoll. Zudem ist es zweckmäßig, Fahrzeuge nur dort abzustellen, wo sie durch Sicherheitsmaßnahmen wie Zugangskontrollen und Alarmanlagen vor unbefugtem Zugriff geschützt sind und die erlaubten Datenlokationen es zulassen." + } + ] + } + ] + }, + { + "id": "SENS.8", + "title": "Physische Sicherheit", + "props": [ + { + "name": "label", + "value": "8" + }, + { + "name": "alt-identifier", + "value": "7b79ab25-2173-4657-8ed3-c4b17a664931" + } + ], + "controls": [ + { + "id": "SENS.8.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Risiken der Nutzung von mobilen Endgeräten", + "props": [ + { + "name": "alt-identifier", + "value": "d3d8d31b-bbc8-4e63-9f09-4dc19897323c" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "1" + } + ], + "links": [ + { + "href": "#ASST.6.1", + "rel": "related" + } + ], + "parts": [ + { + "id": "SENS.8.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Nutzende, Endgeräte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Arbeitsanweisung" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "gegen Risiken der Nutzung von mobilen Endgeräten" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "sensibilisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sensibilisierung für Nutzende von Endgeräten SOLLTE gegen Risiken der Nutzung von mobilen Endgeräten sensibilisieren." + }, + { + "id": "SENS.8.1_gdn", + "name": "guidance", + "prose": "Bei der Nutzung mobiler Endgeräte wie Smartphones, Tablets und Laptops ist Vorsicht geboten, da diese Geräte häufig außerhalb gesicherter Umgebungen betrieben werden und dort typischerweise einer höheren Gefährdungslage ausgesetzt sind. Beispiele sind z.B. Abhandenkommen von Geräten oder Zugang von Unbefugten zu Informationen im öffentlichen Verkehr. Durch den konsequenten Einsatz von Gerätesperren, Verschlüsselung, vertrauenswürdigen Netzwerken sowie der geschützten Verwahrung von Geräten kann das Risiko einer unbefugten Nutzung erheblich reduziert werden." + } + ] + }, + { + "id": "SENS.8.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Schließen von Türen und Fenstern", + "props": [ + { + "name": "alt-identifier", + "value": "2a761948-b26a-4e19-8a9d-75f78ac19811" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Physical Access Control" + } + ], + "parts": [ + { + "id": "SENS.8.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Nutzende, Gebäude" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Arbeitsanweisung" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "zum Verschließen von Fenstern und Türen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "beim Verlassen von Räumlichkeiten" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "anweisen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sensibilisierung für Nutzende von Gebäuden SOLLTE zum Verschließen von Fenstern und Türen beim Verlassen von Räumlichkeiten anweisen." + }, + { + "id": "SENS.8.2_gdn", + "name": "guidance", + "prose": "Durch unverschlossene Türen und Fenster könnten Unbefugte Zutritt erlangen und (in Außenwänden) auch Umwelteinflüsse wirksam werden (Regen, Sturm, Frost), so dass IT, sensible Informationen und andere Werte in Gefahr geraten, zerstört, beschädigt, ausgespäht oder entfernt werden könnten. Sobald die Anwesenheit von Pesonen in einem Raum endet, sind Türen und Fenster daher so zu schließen, dass von Außen das unbefugte Öffnen und (in Außenwänden) das Eindringen von Umwelteinflüssen verhindert wird. Türen werden z.B. abgeschlossen oder Türschließsysteme in den entsprechenden Betriebszustand gebracht, Fenster ganz geschlossen und verriegelt. Nicht erforderlich ist das Verschließen der Türen von fensterlosen Innenräumen, in denen keine IT, sensible Informationen oder andere Werte aufbewahrt werden, oder wenn Risiken praktisch ausgeschlossen werden können (z.B. Kippen von Außenfenstern in höheren Geschossen bei gutem Wetter vor kurzer Abwesenheit). Dies gilt auch für Gemeinschaftsräume, in denen sich IT-Systeme oder Datenträger befinden, z.B. VK-Konferenzzimmer." + } + ] + }, + { + "id": "SENS.8.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Mitbringen von IT-Systemen", + "props": [ + { + "name": "alt-identifier", + "value": "6988844b-ed26-4ad3-83f6-ba5cf223070b" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Bring Your Own Device" + } + ], + "parts": [ + { + "id": "SENS.8.3_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Nutzende" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Arbeitsanweisung" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "das Mitbringen unautorisierter IT-Systeme" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "untersagen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Sensibilisierung für Nutzende KANN das Mitbringen unautorisierter IT-Systeme untersagen." + }, + { + "id": "SENS.8.3_gdn", + "name": "guidance", + "prose": "Fremde IT-Systeme sind ein Risiko, weil sie an das interne Netz angeschlossen, zum Mithören von Gesprächen oder zur Standortverfolgung missbraucht werden können. Relevant sind dabei sowohl Geräte der Mitarbeitenden, als auch von Externen. Dies kann auch durch eine Hinterlegung von Geräten an der Pforte oder in verschließbaren Fächern am Eingang umgesetzt werden." + } + ] + }, + { + "id": "SENS.8.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Begleitung Externer", + "props": [ + { + "name": "alt-identifier", + "value": "1f0a8e0c-33cd-407a-9579-e2dcc6d46515" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Physical Access Control, Advanced Persistent Threats (APT)" + } + ], + "parts": [ + { + "id": "SENS.8.4_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Mitarbeitende, Standorte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Arbeitsanweisung" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "zur Begleitung von Externen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "anweisen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Sensibilisierung für Mitarbeitende von Standorten KANN zur Begleitung von Externen anweisen." + }, + { + "id": "SENS.8.4_gdn", + "name": "guidance", + "prose": "Dies dient in erster Linie dazu, unbefugte oder unbeaufsichtigte Zugriffe auf sensible Bereiche, Informationen oder Systeme zu verhindern. Ohne eine solche Begleitung kann es leicht zu Situationen kommen, in denen Externe absichtlich oder versehentlich sicherheitskritische Bereiche betreten, vertrauliche Informationen einsehen oder technische Geräte unsachgemäß manipulieren. Die Begleitung Externer, die wie Interne sicherheitsüberprüft und geschult wurden, ist entbehrlich." + } + ], + "controls": [ + { + "id": "SENS.8.4.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Beaufsichtigung Externer", + "props": [ + { + "name": "alt-identifier", + "value": "2b9cec51-f841-4ba6-b50d-29c1c2f2c21d" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Physical Access Control" + } + ], + "links": [ + { + "href": "#ASST.5.6", + "rel": "related" + } + ], + "parts": [ + { + "id": "SENS.8.4.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Mitarbeitende, Standorte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Arbeitsanweisung" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "zur Beaufsichtigung von Externen in sensiblen Bereichen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "anweisen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sensibilisierung für Mitarbeitende von Standorten SOLLTE zur Beaufsichtigung von Externen in sensiblen Bereichen anweisen." + }, + { + "id": "SENS.8.4.1_gdn", + "name": "guidance", + "prose": "Erhalten Externe wie z.B. IT-Dienstleister Zugang zu Standorten, an denen sensible Informationen verarbeitet werden, so stellt eine Beaufsichtigung sicher, dass Externe nur soweit Zugriff auf diese Informationen erhalten, wie für die Erledigung der Aufgabe erforderlich." + } + ] + } + ] + }, + { + "id": "SENS.8.5", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Verwahrung Intern", + "props": [ + { + "name": "alt-identifier", + "value": "a5504b88-679b-418b-ab9e-5741317f29ff" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Physical Access Control" + } + ], + "parts": [ + { + "id": "SENS.8.5_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Nutzende, Räume" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Schulungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "zur sicheren Verwahrung von IT-Systemen und Datenträgern" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "sensibilisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sensibilisierung für Nutzende von Räumen SOLLTE zur sicheren Verwahrung von IT-Systemen und Datenträgern sensibilisieren." + }, + { + "id": "SENS.8.5_gdn", + "name": "guidance", + "prose": "Herumliegende vertrauliche Dokumente und Datenträger sind ein leichtes Ziel für Diebe und können versehentlich verloren gehen. Hiergegen hilft die Verwahrung in einem verschlossenen Schrank oder anderweitig entsprechend geschützt. Dies ist besonders wichtig in Räumlichkeiten, welche oft zusammen mit oder ausschließlich von externen Personen genutzt werden, z.B. Konferenz- oder Veranstaltungsräume." + } + ] + }, + { + "id": "SENS.8.6", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Rückgabe nicht mehr benötigter Assets", + "props": [ + { + "name": "alt-identifier", + "value": "857f189a-5ede-47d6-89d5-faff63d736d2" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + } + ], + "parts": [ + { + "id": "SENS.8.6_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Nutzende" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Arbeitsanweisung" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "zur Rückgabe nicht mehr benötigter Assets" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "anweisen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sensibilisierung für Nutzende SOLLTE zur Rückgabe nicht mehr benötigter Assets anweisen." + }, + { + "id": "SENS.8.6_gdn", + "name": "guidance", + "prose": "Dies gilt z.B. bei einem Wechsel der Aufgaben oder der Beendigung des Vertragsverhältnisses zwischen Nutzenden und der Institution." + } + ] + }, + { + "id": "SENS.8.7", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Verwendung von Brandschutmitteln", + "props": [ + { + "name": "alt-identifier", + "value": "37823d46-59ad-487b-bba1-5917c017c625" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "SENS.8.7_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Mitarbeitende" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Schulungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "zur korrekten Verwendung bereitgestellter Brandschutz-Hilfsmittel" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "sensibilisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sensibilisierung für Mitarbeitende SOLLTE zur korrekten Verwendung bereitgestellter Brandschutz-Hilfsmittel sensibilisieren." + }, + { + "id": "SENS.8.7_gdn", + "name": "guidance", + "prose": "Hierzu zählt z.B. die Einweisung in die korrekte Verwendung von Handfeuerlöschern, welche in Serverräumen oder Rechenzentren bereitgestellt werden." + } + ] + }, + { + "id": "SENS.8.8", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Verwendung von Wasserschutzmitteln", + "props": [ + { + "name": "alt-identifier", + "value": "75859261-aa48-4faf-9489-3d875e585f9d" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "SENS.8.8_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Mitarbeitende" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Schulungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "zur korrekten Verwendung bereitgestellter Wasserschutz-Hilfsmittel" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "sensibilisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Sensibilisierung für Mitarbeitende KANN zur korrekten Verwendung bereitgestellter Wasserschutz-Hilfsmittel sensibilisieren." + }, + { + "id": "SENS.8.8_gdn", + "name": "guidance", + "prose": "Ohne ausreichende Kenntnisse könnte ein Mitarbeitender im Ernstfall zögern oder Hilfsmittel falsch anwenden, wodurch wertvolle Geräte ungeschützt bleiben oder unnötige Verzögerungen bei der Eindämmung eintreten könnten. Eine rechtzeitige und richtige Anwendung kann dagegen die Ausbreitung von Wasserschäden begrenzen, Datenverluste vermeiden und den Wiederanlauf kritischer Arbeitsprozesse erheblich erleichtern. Im Kontext dieser Anforderung bedeutet „Wasserschutz-Hilfsmittel“ einfache technische oder organisatorische Werkzeuge, die zur Eindämmung, Ableitung oder Beseitigung von Wasser im Notfall eingesetzt werden können, etwa Sandsäcke, Absperrschotten, Wassermelder oder Tauchpumpen. Konkrete Maßnahmen können sein: (1) Mitarbeitende regelmäßig in kurzen Übungen mit der Handhabung der vorhandenen Hilfsmittel vertraut machen, z. B. das Einsetzen von Absperrschotten an Türen oder den Betrieb einer Tauchpumpe an einem vorbereiteten Testbecken, (2) an den Aufbewahrungsorten der Hilfsmittel laminierte Schritt-für-Schritt-Anleitungen anbringen, die im Ernstfall sofort verständlich sind, (3) visuelle Markierungen oder QR-Codes platzieren, die auf kurze Videosequenzen zur Anwendung verweisen. Auch kleine Tipps können die Wirksamkeit erhöhen, etwa dass Hilfsmittel geordnet nach Dringlichkeit bereitliegen können oder dass bei Tauchpumpen vorab Kabel und Steckdosen auf sichere Reichweite geprüft werden können." + } + ] + } + ] + }, + { + "id": "SENS.9", + "title": "Mobiles Arbeiten", + "props": [ + { + "name": "label", + "value": "9" + }, + { + "name": "alt-identifier", + "value": "dc3166e4-7040-482b-b92c-1ef592d03639" + } + ], + "controls": [ + { + "id": "SENS.9.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Verarbeitung in der Öffentlichkeit", + "props": [ + { + "name": "alt-identifier", + "value": "4d8775fd-52b0-491f-b0ce-7a8ceaba4819" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Physical Access Control, Shoulder Surfing" + } + ], + "links": [ + { + "href": "#ASST.3.10", + "rel": "related" + } + ], + "parts": [ + { + "id": "SENS.9.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Nutzende" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Schulungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "gegen die Verarbeitung von vertraulichen Informationen in der Öffentlichkeit" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "sensibilisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sensibilisierung für Nutzende SOLLTE gegen die Verarbeitung von vertraulichen Informationen in der Öffentlichkeit sensibilisieren." + }, + { + "id": "SENS.9.1_gdn", + "name": "guidance", + "prose": "Die Anforderung zielt darauf ab, das Risiko unbeabsichtigter Informationsabflüsse in öffentlichen Räumen zu reduzieren. Ohne entsprechende Aufmerksamkeit könnte etwa ein unbefugter Dritter vertrauliche Daten über die Schulter mitlesen, Fotos von Bildschirmen aufnehmen oder Gesprächsinhalte mithören, was im schlimmsten Fall zu Identitätsdiebstahl oder geschäftsschädigender Weitergabe von Insiderinformationen führen könnte. Unachtsamkeit könnte dabei z.B. einen Verstoß gegen Arbeitsanweisungen und das Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) darstellen. Im vorliegenden Kontext bedeutet „öffentliche Verarbeitung“ die Nutzung mobiler Geräte wie Laptops, Tablets oder Smartphones in frei zugänglichen Umgebungen, in denen unbekannte Personen mitlesen oder mithören könnten, zum Beispiel in Verkehrsmitteln, Cafés, Flughäfen oder Co-Working-Spaces. Zudem helfen Schutzmaßnahmen wie das Sitzen mit dem Rücken zur Wand oder die Verwendung von Displayschutzfolien und abdeckenden Kopfhörern." + } + ] + }, + { + "id": "SENS.9.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Vorsicht vor Mithören", + "props": [ + { + "name": "alt-identifier", + "value": "bd43cb07-83d9-4105-9039-3dba57a180e9" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + } + ], + "links": [ + { + "href": "#ASST.3.10", + "rel": "related" + } + ], + "parts": [ + { + "id": "SENS.9.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Nutzende" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Schulungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "gegen das Abhören von Gesprächen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "beim mobilen Arbeiten" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "sensibilisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sensibilisierung für Nutzende SOLLTE gegen das Abhören von Gesprächen beim mobilen Arbeiten sensibilisieren." + }, + { + "id": "SENS.9.2_gdn", + "name": "guidance", + "prose": "Das Abhören von Gesprächen bezeichnet im Kontext des mobilen Arbeitens das unbefugte Mithören vertraulicher oder sensibler Inhalte durch Dritte, sei es absichtlich (z. B. durch Spionage) oder unbeabsichtigt (z. B. durch zufällige Umstehende). Mobiles Arbeiten ist das Arbeiten an Orten außerhalb der Kontrolle der Institution, wie z. B. im Homeoffice, auf Reisen oder in öffentlichen Bereichen. Ohne entsprechende Vorsicht könnte die Preisgabe geschäftsrelevanter Daten über Produkte, interne Strategien oder persönliche Informationen erfolgen, was im schlimmsten Fall zu wirtschaftlichen Schäden oder Reputationsverlust führen könnte. Das betrifft insbesondere Anrufe und Videokonferenzen. Hierbei hilft es, Gespräche mit vertraulichem Inhalt nach Möglichkeit in geschützte Räume zu verlagern oder, falls dies nicht möglich ist, ihre Sprache bewusst zu kodieren bzw. zu abstrahieren. Technische Hilfsmittel wie Headsets mit Geräuschunterdrückung können die Verständlichkeit für autorisierte Gesprächspartner verbessern, während Umstehende weniger Details wahrnehmen. Auch einfache Verhaltenshinweise wie das Abwenden vom Publikumsverkehr, die Wahl einer Sitzposition mit Abstand zu anderen Personen oder die Nutzung digitaler Chatkanäle anstelle mündlicher Gespräche in unsicheren Umgebungen kann das Risiko verringern." + } + ] + }, + { + "id": "SENS.9.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Verwahrung außer Haus", + "props": [ + { + "name": "alt-identifier", + "value": "65a6dd9c-baab-49b8-8d28-ee4cab5b52a9" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Physical Access Control" + } + ], + "links": [ + { + "href": "#ASST.3.10", + "rel": "related" + } + ], + "parts": [ + { + "id": "SENS.9.3_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Nutzende" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Arbeitsanweisung" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "zur Verwahrung von IT-Systemen und Datenträgern" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "beim mobilen Arbeiten" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "anweisen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sensibilisierung für Nutzende SOLLTE zur Verwahrung von IT-Systemen und Datenträgern beim mobilen Arbeiten anweisen." + }, + { + "id": "SENS.9.3_gdn", + "name": "guidance", + "prose": "Die Verwahrung von IT-Systemen und Datenträgern bedeutet, diese so zu sichern, dass sie nicht unbeabsichtigt verloren gehen, beschädigt oder unbefugt eingesehen werden können. An mobilen Arbeitsplätzen ist das Risiko eines Zugriffs Unbefugter oder Verlustes typischerweise höher als in Bürogebäuden. Dagegen hilft es, alle Hardware und Dokumente so aufzubewahren, dass unbefugter Zugang und unberechtigter Zugriff verhindert wird. Hierzu können z.B. Koffer mit Schloss oder Hotelsafes genutzt werden. Eine regelmäßige Überprüfung dieser Maßnahmen wird empfohlen." + } + ] + }, + { + "id": "SENS.9.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Mobile Arbeit mit Dokumenten", + "props": [ + { + "name": "alt-identifier", + "value": "4e9f2d62-dfe7-43a6-abb7-3c2e12df08b6" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Physical Access Control" + } + ], + "links": [ + { + "href": "#ASST.3.10", + "rel": "related" + }, + { + "href": "#ASST.7.3.2", + "rel": "related" + } + ], + "parts": [ + { + "id": "SENS.9.4_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Nutzende" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Schulungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "über den sicheren Umgang mit analogen Dokumenten" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "beim mobilen Arbeiten" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "sensibilisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sensibilisierung für Nutzende SOLLTE über den sicheren Umgang mit analogen Dokumenten beim mobilen Arbeiten sensibilisieren." + }, + { + "id": "SENS.9.4_gdn", + "name": "guidance", + "prose": "Unter analogen Dokumenten sind hier alle physischen Informations- und Datenträger wie Ausdrucke, Notizbücher oder Verträge zu verstehen, die sensible oder vertrauliche Inhalte enthalten. Unbeaufsichtigte oder ungeschützte Dokumente könnten unterwegs leicht verloren gehen oder in unbefugte Hände gelangen, was zu ungewollter Preisgabe interner Informationen führt. Daher ist es sinnvoll (1) Unterlagen unterwegs stets in verschließbaren Taschen oder Mappen zu transportieren und so vor unbefugtem Zugriff zu schützen, (2) beim Arbeiten außerhalb der Institution nur die wirklich notwendigen Ausdrucke mitzunehmen und alle übrigen Dokumente in gesicherten Ablagen zu belassen. (3) Papierstapel durch neutrale Umschläge abzudecken oder in blickdichten Aktenhüllen mitzuführen, sodass neugierige Blicke verhindert werden, (4) temporäre Notizen nach Gebrauch einer sicheren Vernichtung zuzuführen, etwa durch mobile Reißwolf-Lösungen oder durch Rückgabe an eine zentrale Aktenvernichtung. Auch für mitgenommene analoge Dokumente gelten zudem die Regelungen und Verfahren zum Löschen und Vernichten." + } + ] + }, + { + "id": "SENS.9.5", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Mitnahme zur mobilen Arbeit", + "props": [ + { + "name": "alt-identifier", + "value": "3c678c4b-a10d-4f6d-ab63-d34cd84ecefe" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Physical Access Control" + } + ], + "links": [ + { + "href": "#ASST.3.10", + "rel": "required" + }, + { + "href": "#ASST.3.10", + "rel": "related" + } + ], + "parts": [ + { + "id": "SENS.9.5_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Nutzende" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Schulungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "gegen die Mitnahme nicht erforderlicher IT-Systeme und Datenträger" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "sensibilisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sensibilisierung für Nutzende SOLLTE gegen die Mitnahme nicht erforderlicher IT-Systeme und Datenträger sensibilisieren." + }, + { + "id": "SENS.9.5_gdn", + "name": "guidance", + "prose": "Außerhalb der Institution sind die Möglichkeiten zum Schutz von IT-Systemen und Daten geringer. Es ist daher ratsam, die mitgenommenen Geräte und Dokumente auf das erforderliche Maß zu beschränken und stattdessen nach der Rückkehr intern weiter daran zu arbeiten. Welche IT-Systeme und Datenträger erforderlich sind, ergibt sich aus der Festlegung erlaubter Datenlokationen sowie den Aufgaben der Nutzenden." + } + ] + }, + { + "id": "SENS.9.6", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Mitnahme ins Ausland", + "props": [ + { + "name": "alt-identifier", + "value": "2181d821-efad-48d7-9c12-7c1aad40bfb1" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Auslandsreisen" + } + ], + "links": [ + { + "href": "#ASST.3.10", + "rel": "required" + }, + { + "href": "#ASST.3.10", + "rel": "related" + } + ], + "parts": [ + { + "id": "SENS.9.6_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Nutzende" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Arbeitsanweisung" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Mitnahme nicht erforderlicher IT-Systeme und Datenträger" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "bei Auslandsreisen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "untersagen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Sensibilisierung für Nutzende KANN die Mitnahme nicht erforderlicher IT-Systeme und Datenträger bei Auslandsreisen untersagen." + }, + { + "id": "SENS.9.6_gdn", + "name": "guidance", + "prose": "Auf Auslandsreisen ist das Risiko für Spionage erhöht und der Rechtsschutz für Betroffene typischerweise geringer, insbesondere im EU-Ausland. Es ist daher ratsam, die mitgenommenen Geräte und sensiblen Informationen auf das für das Geschäft erforderliche Mindestmaß zu beschränken und stattdessen nach der Rückkehr an einem besser geschützten Standort weiter daran zu arbeiten. Welche IT-Systeme und Datenträger erforderlich sind, ergibt sich aus der Festlegung erlaubter Datenlokationen sowie den Aufgaben der Nutzenden. Ist die Nutzung von Informationen oder Assets der Institution im Ausland nicht vorgesehen (vgl. Anforderung Datenlokationen), dann ist die Anforderung entbehrlich." + } + ] + }, + { + "id": "SENS.9.7", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Reise- und Sicherheitshinweise", + "props": [ + { + "name": "alt-identifier", + "value": "3b4e6be6-5648-468f-bc05-89191c9cdd90" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Auslandsreisen, Advanced Persistent Threats (APT)" + } + ], + "links": [ + { + "href": "#ASST.3.10", + "rel": "related" + } + ], + "parts": [ + { + "id": "SENS.9.7_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Nutzende" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Schulungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "zu Reise- und Sicherheitshinweisen des Auswärtigen Amtes" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "bei Auslandsreisen ins außereuropäische Ausland" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "sensibilisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sensibilisierung für Nutzende SOLLTE zu Reise- und Sicherheitshinweisen des Auswärtigen Amtes bei Auslandsreisen ins außereuropäische Ausland sensibilisieren." + }, + { + "id": "SENS.9.7_gdn", + "name": "guidance", + "prose": "Dies kann dazu beitragen, frühzeitig potenzielle Gefahren zu erkennen und das Verhalten an die spezifischen Risiken des Ziellandes anzupassen. Dies umfasst unter anderem Hinweise zu politischen Unruhen, Naturkatastrophen, Kriminalitätslagen oder besonderen Einreise- und Sicherheitsbestimmungen. Ohne solche Kenntnisse könnten Reisende unvorbereitet in Situationen geraten, in denen dienstliche Geräte kompromittiert werden, wenn unsichere Netzwerke genutzt werden. Ebenso könnten fehlende Kenntnisse über lokale Gesetze dazu führen, dass mitgeführte elektronische Geräte bei der Einreise beschlagnahmt oder inspiziert werden. Sinnvoll ist es, sich vor der Arbeitsreisen in das außereuropäische Ausland über aktuelle Reise- und Sicherheitshinweise beim [Auswärtigen Amt](https://www.auswaertiges-amt.de/de/reiseundsicherheit/reise-und-sicherheitshinweise) zu informieren. Ist die Nutzung von Informationen oder Assets der Institution im Ausland nicht vorgesehen (vgl. Anforderung Datenlokationen), dann ist die Anforderung entbehrlich." + } + ] + } + ] + }, + { + "id": "SENS.10", + "title": "Administration", + "props": [ + { + "name": "label", + "value": "10" + }, + { + "name": "alt-identifier", + "value": "fa8f30ac-003e-4f35-91d8-7040fb573b6f" + } + ], + "controls": [ + { + "id": "SENS.10.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Grundprinzipien der Systemadministration", + "props": [ + { + "name": "alt-identifier", + "value": "27a41327-328d-4213-a39b-fe549f241921" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Advanced Persistent Threats (APT)" + } + ], + "parts": [ + { + "id": "SENS.10.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Administrierende" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Schulungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "zu den Grundprinzipien der sicheren Administration" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "sensibilisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sensibilisierung für Administrierende SOLLTE zu den Grundprinzipien der sicheren Administration sensibilisieren." + }, + { + "id": "SENS.10.1_gdn", + "name": "guidance", + "prose": "Administriende sind durch ihre weitreichenden Zugangs- und Zugriffsberechtigungen, sowie ihre Verantwortung für die Aufrechterhaltung der Infrastruktur von besonderer Bedeutung für die Informations- und Cybersicherheit. Hier bedeutet „sichere Administration“, dass administrative Tätigkeiten so gestaltet werden, dass Vertraulichkeit, Integrität und Verfügbarkeit der Systeme möglichst gewahrt bleiben. Dazu zählen etwa Zugriffskontrolle und Rechtevergabe nach dem Least-Privilege-Prinzip, Netzwerksegmentierung, Systemhärtung, Loganalyse, Datensicherungen und Monitoring sowie die Vorbereitung für Notfälle. Um dies sicherzustellen ist es wichtig, die festgelegten Regeln (z.B. IT-Betriebskonzept) zu kennen und auf deren Einhaltung zu achten." + } + ] + }, + { + "id": "SENS.10.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Umgang mit privilegierten Berechtigungen", + "props": [ + { + "name": "alt-identifier", + "value": "df690f55-b161-42fd-8cdb-383a553dddfe" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + } + ], + "parts": [ + { + "id": "SENS.10.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Administrierende" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Schulungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "zum Umgang mit privilegierten Berechtigungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "sensibilisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sensibilisierung für Administrierende SOLLTE zum Umgang mit privilegierten Berechtigungen sensibilisieren." + }, + { + "id": "SENS.10.2_gdn", + "name": "guidance", + "prose": "Privilegierte Berechtigungen (auch „administrative Rechte“, „Root-Berechtigungen“ oder „elevated privileges“ genannt) ermöglichen weitreichende Systemeingriffe und können bei unsachgemäßer Verwendung schwerwiegende Sicherheitsvorfälle verursachen. Beispielsweise könnte ein Administrator mit Root-Zugriff versehentlich kritische Systemdateien löschen, sensible Daten einsehen, oder Angreifer könnten solche Zugangsdaten abgreifen und mit diesen durch Lateral Movement ungehindert im Netzwerk agieren. Dies wird besonders deutlich an realen Vorfällen, bei denen Administratoren durch Social Engineering zum Einsatz ihrer Berechtigungen manipuliert wurden oder durch mangelndes Bewusstsein für Sicherheitsimplikationen ihrer Handlungen Schwachstellen selbst geschaffen haben. Stattdessen ist es sinnvoll, solche Berechtigungen nur dann zu verwenden, wenn sie für die aktuelle Aktion erforderlich sind, z.B. durch sudo. Zudem ist es bei diesen Zugangsdaten besonders wichtig, dass sie nicht ungeschützt abgelegt werden. Das betrifft auch Zugangsdaten, die in Skripten oder Anwendungen hinterlegt werden um diese auszuführen: Werden diese beim Aufruf von Kommandozeilenbefehlen oder in Skripten mitgespeichert, könnten sie in Protokollen oder im Prozessspeicher sichtbar sein und missbraucht werden. Sinnvoll ist stattdessen die Verwendung von Passwort-Managern, Umgebungsvariablen oder speziellen Secrets-Management-Lösungen. Dazu gehört auch die regelmäßige Rotation solcher Zugangsdaten bei Dienstekonten (Service Accounts)." + } + ] + }, + { + "id": "SENS.10.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Systemadministration - Sicherheitsvorfälle", + "props": [ + { + "name": "alt-identifier", + "value": "019ea9a4-70dd-4e10-adfa-37467144aca3" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "links": [ + { + "href": "#REA.1.1", + "rel": "required" + } + ], + "parts": [ + { + "id": "SENS.10.3_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Administrierende" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Schulungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "zu Verfahren und Regelungen bei Sicherheitsvorfällen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "sensibilisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sensibilisierung für Administrierende SOLLTE zu Verfahren und Regelungen bei Sicherheitsvorfällen sensibilisieren." + }, + { + "id": "SENS.10.3_gdn", + "name": "guidance", + "prose": "Für die Behandlung und Nachsorge bei Sicherheitsvorfällen sind die festgelegten Verfahren und Regelungen einzuhalten. Hierzu gehört etwa das Erkennen auffälliger Logeinträge, der Umgang mit kompromittierten Administratorpasswörtern oder das strukturierte Sammeln erster Fakten, bevor ein Incident-Response-Team übernimmt. Effektiv kann auch ein klar dokumentiertes Ablaufdiagramm sein, das den Meldeweg und zulässige Sofortmaßnahmen visuell darstellt und in Administrationshandbüchern oder direkt im Ticket-System hinterlegt ist." + } + ] + }, + { + "id": "SENS.10.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Systemadministration - Strukturierte Verkabelung", + "props": [ + { + "name": "alt-identifier", + "value": "fd852545-bf6f-4e5b-adc0-e169cc0548fa" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + } + ], + "parts": [ + { + "id": "SENS.10.4_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Administrierende, Netze" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Schulungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "zur strukturierten Verkabelung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "sensibilisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sensibilisierung für Administrierende von Netzen SOLLTE zur strukturierten Verkabelung sensibilisieren." + }, + { + "id": "SENS.10.4_gdn", + "name": "guidance", + "prose": "Eine strukturierte Verkabelung kann die Übersichtlichkeit, Fehlertoleranz und Betriebssicherheit von Netzwerken erheblich verbessern. Sie dient dazu, Kabelwege und -anschlüsse einheitlich zu planen, zu dokumentieren und physisch so zu gestalten, dass Fehlverkabelungen, Kabelschäden oder unbefugte Eingriffe erschwert werden. Ohne solche Maßnahmen kann es zu chaotischen Verkabelungen kommen, die Fehlerdiagnosen erschweren, längere Ausfallzeiten verursachen oder im schlimmsten Fall unbemerkt unautorisierte Geräte ins Netz einschleusen lassen. So könnte etwa ein unbeschriftetes Patchkabel versehentlich abgezogen werden, wodurch kritische Systeme offline gehen, oder ein Kabelbündel könnte bei einer unachtsamen Bewegung beschädigt werden, was zu intermittierenden Netzwerkausfällen führt. Im konkreten Kontext bezeichnet „strukturierte Verkabelung“ ein einheitlich aufgebautes und dokumentiertes System von Kabeln, Anschlüssen und Patchfeldern, das nach anerkannten Standards (z. B. nach DIN EN 50173 und 50174) geplant und umgesetzt wird. Dazu gehören die Auswahl geeigneter Kabel, normgerechte Verlegungswege unter Berücksichtigung von EN 50310 sowie die Einhaltung von Mindestbiegeradien und Trennungsabständen zu elektrischen Leitungen. Administrierende können durch klare Kabelführung, Farbcodierungen, eindeutige Beschriftungen und eine nachvollziehbare Dokumentation ihre Arbeitsumgebung übersichtlicher und sicherer gestalten." + } + ] + }, + { + "id": "SENS.10.5", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Systemadministration - Internetnutzung", + "props": [ + { + "name": "alt-identifier", + "value": "888c76ab-d8f0-42ff-a791-8a31f17f6ad0" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Privilege Escalation, Insider Threat, Privilegierte Rechte" + } + ], + "links": [ + { + "href": "#BER.3.5", + "rel": "required" + } + ], + "parts": [ + { + "id": "SENS.10.5_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Administrierende" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Schulungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "gegen den Internetzugriff über ein Administrationskonto" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "sensibilisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sensibilisierung für Administrierende SOLLTE gegen den Internetzugriff über ein Administrationskonto sensibilisieren." + }, + { + "id": "SENS.10.5_gdn", + "name": "guidance", + "prose": "Administrationskonten sind im konkreten Kontext privilegierte Benutzerkonten, die erweiterte Rechte für Konfigurations-, Installations- oder Wartungsaufgaben besitzen. Internetzugriff bezeichnet dabei das Herstellen von Verbindungen zu externen Diensten oder Webseiten außerhalb der institutionseigenen Netze. Ein solcher Zugriff mit einem Administrationskonto stellt ein erhebliches Risiko dar: Schadsoftware könnte mit denselben hohen Rechten ausgeführt werden oder Anmeldedaten könnten über unsichere Webseiten abgegriffen werden. Hiervon können Zugriffe ausgenommen werden, die zur Administration des Systems mit diesen Rechten erforderlich sind, z.B. Download von Sicherheitsupdates durch Applikationen, die zur Ausführung administrative Rechte benötigen." + } + ] + } + ] + }, + { + "id": "SENS.11", + "title": "Sensibilisierung der Leitungsebene", + "props": [ + { + "name": "label", + "value": "11" + }, + { + "name": "alt-identifier", + "value": "0c5e4691-4fe6-42a1-b809-4b326c292b67" + } + ], + "controls": [ + { + "id": "SENS.11.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Sensibilisierung der Institutionsleitung", + "props": [ + { + "name": "alt-identifier", + "value": "72f91d4a-67c7-4e93-a9b8-a4bb1157e4a6" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + } + ], + "parts": [ + { + "id": "SENS.11.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Institutionsleitung" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Schulungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "zur Bedeutung der Informationssicherheit für den Schutz der Geschäftsprozesse" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "sensibilisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sensibilisierung für Institutionsleitung SOLLTE zur Bedeutung der Informationssicherheit für den Schutz der Geschäftsprozesse sensibilisieren." + }, + { + "id": "SENS.11.1_gdn", + "name": "guidance", + "prose": "Informationssicherheit ist kein Selbstzweck, sondern soll die Verarbeitung von Informationen in Geschäftsprozessen zur Erreichung der Geschäftsziele schützen. Weil Umfang und Integration von Informationsverarbeitungen in Geschäftsprozessen zunehmen, sind Datenverluste, Cyberangriffe und andere elementare Gefährdungen eine zunehmend ernste Bedrohung." + } + ] + }, + { + "id": "SENS.11.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Führen als Vorbild", + "props": [ + { + "name": "alt-identifier", + "value": "c5032864-bc5c-4f60-a136-9b10aa2f3f10" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "1" + } + ], + "parts": [ + { + "id": "SENS.11.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Führungskräfte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Schulungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "zu ihrer Vorbildfunktion bei der Informationssicherheit" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "sensibilisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sensibilisierung für Führungskräfte SOLLTE zu ihrer Vorbildfunktion bei der Informationssicherheit sensibilisieren." + }, + { + "id": "SENS.11.2_gdn", + "name": "guidance", + "prose": "Die Vorbildfunktion von Führungskräften ist entscheidend, um eine robuste Sicherheitskultur zu etablieren und die Einhaltung der geschulten Inhalte im Arbeitsalltag zu gewährleisten." + } + ] + }, + { + "id": "SENS.11.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Whaling", + "props": [ + { + "name": "alt-identifier", + "value": "e8b12560-18b1-4e31-955a-68804003008b" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "1" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Advanced Persistent Threats (APT)" + } + ], + "parts": [ + { + "id": "SENS.11.3_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Führungskräfte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Schulungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "gegen gezielte Angriffe auf Führungskräfte" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "sensibilisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sensibilisierung für Führungskräfte SOLLTE gegen gezielte Angriffe auf Führungskräfte sensibilisieren." + }, + { + "id": "SENS.11.3_gdn", + "name": "guidance", + "prose": "Gezielte Angriffe auf Führungskräfte, auch Whaling genannt, sind eine besondere Form des Social Engineering, bei der Täter sehr spezifisch auf leitende Personen einer Institution abzielen. Im Gegensatz zu herkömmlichem Phishing sind diese Angriffe stark personalisiert, häufig inhaltlich gut recherchiert und auf die Entscheidungsbefugnisse und den Einfluss der Führungsperson zugeschnitten. Die Täter setzen dabei häufig auf die jeweilige Situation zugeschnittene Social Engineering Techniken wie Spear Phishing (z.B. anhand von Angaben in sozialen Netzwerken), CEO-Fraud oder Deepfakes ein. Ein Vorfall könnte z.B. dazu führen, dass ein CFO durch eine täuschend echte E-Mail zur Freigabe von Überweisungen verleitet wird oder Aktivisten sich eine Videokonferenz mit bekannten Persönlichkeiten erschleichen, um diese bloßzustellen. Zur Verringerung des Risikos können konkrete Hinweise im Alltag beachtet werden: (1) Besonders aufmerksam sollte auf Nachrichten reagiert werden, die Dringlichkeit betonen, ungewöhnliche Geldtransfers verlangen oder auf streng vertrauliche Projekte Bezug nehmen. (2) Absenderadressen sollten sorgfältig geprüft werden – bereits kleine Abweichungen in Domainnamen können Manipulation anzeigen. (3) Zur Bestätigung verdächtiger Anfragen kann ein zweiter, unabhängiger Kommunikationskanal wie ein Rückruf unter offiziell bekannter Nummer genutzt werden. Zusätzlich kann darauf geachtet werden, keine sensiblen Informationen über öffentliche Plattformen preiszugeben, da solche Details als Grundlage für Angriffe dienen könnten. Auch eine feste Routine – etwa keine Zahlungen ausschließlich aufgrund einer E-Mail freizugeben – kann dazu beitragen, auch unter Zeitdruck resilient zu bleiben." + } + ] + } + ] + }, + { + "id": "SENS.12", + "title": "Spezifische Risiken", + "props": [ + { + "name": "label", + "value": "12" + }, + { + "name": "alt-identifier", + "value": "460a3e0b-2a34-4a3f-bfc0-28edca90fa14" + } + ], + "controls": [ + { + "id": "SENS.12.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Hohe Risiken", + "props": [ + { + "name": "alt-identifier", + "value": "f1191c38-3df5-4cc4-adfd-46863a2671a8" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "parts": [ + { + "id": "SENS.12.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Nutzende" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Schulungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "gegen die in der Risikoanalyse festgestellten hohen Risiken" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "sensibilisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Sensibilisierung für Nutzende KANN gegen die in der Risikoanalyse festgestellten hohen Risiken sensibilisieren." + }, + { + "id": "SENS.12.1_gdn", + "name": "guidance", + "prose": "Werden in einer Risikoanalyse bei hohem Schutzbedarf spezielle hohe Risiken festgestellt, so sind betroffene Nutzende auf diese Risiken hinzuweisen. Praktische Maßnahmen können (1) interaktive Trainings zu den jeweils relevanten Angriffsmethoden wie Social Engineering oder Ransomware umfassen, (2) Fallbeispiele aus der eigenen Branche einbeziehen, die konkrete Handlungsweisen aufzeigen, oder (3) wiederkehrende Awareness-Impulse wie Übungen einsetzen, die das Gelernte im Alltag verankern." + } + ] + } + ] + } + ] + }, + { + "id": "ARCH", + "title": "Architektur", + "props": [ + { + "name": "label", + "value": "ARCH", + "remarks": "Die Praktik Architektur definiert die grundlegende Struktur sowie die Sicherheitsprinzipien der IT-Infrastruktur und leitet daraus Anforderungen für einzelne IT-Komponenten ab – etwa für Anwendungen oder IT-Systeme. Ziel ist es, eine sichere und skalierbare Basis zu schaffen. Im Rahmen dieser Praktik werden Sicherheitsanforderungen systematisch in die Gesamtarchitektur eingebettet. Dazu gehören die Gestaltung der Netzarchitektur sowie die Entwicklung übergreifender Konzepte, beispielsweise für Kryptografie oder den Schutz vor Schadsoftware." + }, + { + "name": "alt-identifier", + "value": "6710c63e-bb40-4742-9bae-1779ba21f2a9" + } + ], + "groups": [ + { + "id": "ARCH.1", + "title": "Grundlagen", + "props": [ + { + "name": "label", + "value": "1" + }, + { + "name": "alt-identifier", + "value": "94bfadab-43f6-48d7-ac5e-49b8fbcf2794" + } + ], + "controls": [ + { + "id": "ARCH.1.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Verfahren und Regelungen", + "props": [ + { + "name": "alt-identifier", + "value": "67c185f2-ebfd-49cc-a910-9a6dd0901578" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "ARCH.1.1_stm", + "name": "statement", + "props": [ + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Verfahren und Regelungen zur Architektur des Netzes und damit verbundener Infrastrukturen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Architektur MUSS Verfahren und Regelungen zur Architektur des Netzes und damit verbundener Infrastrukturen verankern." + }, + { + "id": "ARCH.1.1_gdn", + "name": "guidance", + "prose": "Die Netzarchitektur ist der strukturierte Entwurf einer Netzinfrastruktur, einschließlich der IT-Systeme und verbundsbezogenen Schutzmechanismen darin. Hierzu gehören die Segmentierung und Filterung von kabelgebundenen und kabellosen Netzen, Netzmanagement sowie die Redundanz wichtiger Systeme für eine ausreichende Gewährleistung der Verfügbarkeit. Die bei der Festlegung des Verfahrens im Einzelnen zu berücksichtigenden Inhalte ergeben sich aus den Anforderungen dieser Praktik. Empfehlenswert ist ein Design des Netzes nach dem Zero-Trust-Prinzip (siehe BSI Positionspapier Zero-Trust). Dennoch sind Netzgrenzen zur Isolierung durch Filterung oder Zugbrücken bei Angriffen weiterhin sinnvoll. Weitere Informationen zur Absicherung von Netzen sind in ISO/IEC 27033 zu finden." + } + ], + "controls": [ + { + "id": "ARCH.1.1.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Dokumentation", + "props": [ + { + "name": "alt-identifier", + "value": "cc8c3dda-e62f-4dda-9190-bfd4f1aa4feb" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "ARCH.1.1.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Verfahren und Regelungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Architektur MUSS die Verfahren und Regelungen dokumentieren." + }, + { + "id": "ARCH.1.1.1_gdn", + "name": "guidance", + "prose": "Ohne eine Dokumentation könnte die Einhaltung der Verfahren und Regelungen von der Tagesform oder dem individuellen Wissen einzelner Mitarbeiter abhängen, was zu inkonsistenten Entscheidungen und Fehlern führen könnte; insbesondere beim Ausscheiden eines langjährigen Administrators könnte wertvolles prozessuales Wissen verloren gehen. Eine klare Dokumentation sichert die Verbindlichkeit und Wiederholbarkeit und dient als unverzichtbare Grundlage für die Einarbeitung neuer Kollegen, für die Durchführung von Audits und zur einheitlichen Anwendung der Regeln in der gesamten Institution. Die Dokumentation kann in einem eigenständigen Dokument als Richtlinie erfolgen, aber auch als Abschnitt in einem bereits bestehenden Dokument oder über die digital strukturierte Erfassung von Maßnahmen zur Umsetzung der Anforderungen, etwa über eine Software zum Management der Informationssicherheit. Sinnvoll ist es, Ort und Struktur der Dokumentation an der jeweiligen Zielgruppe, d.h. den für das Management und die Umsetzung verantwortlichen Personen oder Rollen, auszurichten." + } + ] + }, + { + "id": "ARCH.1.1.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Zuweisung der Aufgaben", + "params": [ + { + "id": "arch.1.1.2-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "d3792075-d03a-414c-b28c-43d78dbaded9" + } + ], + "label": "zuständigen Personen oder Rollen" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "d3792075-d03a-414c-b28c-43d78dbaded9" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "ARCH.1.1.2_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Geschäftsverteilungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die mit den Verfahren und Regelungen verbundenen Aufgaben" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{zuständigen Personen oder Rollen}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "zuweisen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Architektur MUSS die mit den Verfahren und Regelungen verbundenen Aufgaben {{ insert: param, arch.1.1.2-prm1 }} zuweisen." + }, + { + "id": "ARCH.1.1.2_gdn", + "name": "guidance", + "prose": "Die Zuweisung von Aufgaben bezeichnet die eindeutige und verbindliche Übertragung von konkreten Tätigkeiten und Verantwortlichkeiten des Änderungsprozesses, wie etwa die Risikobewertung, die technische Umsetzung oder die finale Freigabe, an definierte Stellen in der Institution. Der Sinn dieser Vorschrift ist es, die Verantwortlichkeit (\"Accountability\") für jeden einzelnen Schritt im Prozess klarzustellen. Ohne eine solche Zuweisung könnten kritische Prüfungen unterbleiben, weil sich niemand explizit zuständig fühlt, was wiederum die Wahrscheinlichkeit fehlgeschlagener Änderungen erhöht. Eine klare Regelung kann sicherstellen, dass keine Aufgaben übersehen werden und jede Tätigkeit von einer dafür qualifizierten und befugten Stelle ausgeführt wird, was die Prozesssicherheit signifikant erhöht. Eine bewährte Methode zur Umsetzung ist die Erstellung einer RACI-Matrix (Responsible, Accountable, Consulted, Informed), die tabellarisch für jeden Prozessschritt darstellt, wer für die Durchführung verantwortlich ist, wer die Gesamtverantwortung trägt, wer zu konsultieren und wer zu informieren ist. Diese Zuständigkeiten können auch direkt in einem Workflow- oder Ticketsystem abgebildet werden, sodass Aufgaben, wie beispielsweise Genehmigungsschritte, automatisch an die richtige Gruppe oder Person weitergeleitet werden. Sinnvoll ist es, die Zuweisung anhand von Rollen (z. B. \"Anwendungsverantwortlicher\", \"Netzwerkadministrator\", \"Change Manager\") vorzunehmen, statt an konkrete Personen. Dieser Ansatz stellt sicher, dass die Prozesse auch bei Personalwechseln stabil weiterlaufen, da die Zuständigkeit an die Funktion und nicht an das Individuum gebunden ist." + } + ] + }, + { + "id": "ARCH.1.1.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Bekanntgabe", + "props": [ + { + "name": "alt-identifier", + "value": "1721e1fd-79b4-4cb2-a189-ae8571d66931" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "ARCH.1.1.3_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die zuständigen Personen oder Rollen über die Verfahren und Regelungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "informieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Architektur MUSS die zuständigen Personen oder Rollen über die Verfahren und Regelungen informieren." + }, + { + "id": "ARCH.1.1.3_gdn", + "name": "guidance", + "prose": "Wenn die Zuständigen die etablierten Verfahren nicht kennen, besteht die Gefahr, dass diese – sei es aus Unwissenheit oder Bequemlichkeit – umgangen werden, was die Schutzwirkung des gesamten Managementsystems untergräbt. So könnte ein neuer Systemadministrator eine weitreichende Konfigurationsänderung vornehmen, ohne den vorgeschriebenen Genehmigungsprozess zu durchlaufen, was zu einem unbemerkten Sicherheitsrisiko führen könnte. Eine gezielte Information kann hingegen die Akzeptanz der Regelungen fördern und sicherstellen, dass alle Beteiligten ihre Rolle im Prozess verstehen und die Abläufe korrekt anwenden. Zur Umsetzung ist es sinnvoll, die Dokumentation im Rahmen eines Onboarding-Prozesses bekanntzugeben und bei allen Änderungen eine automatische Benachrichtigung aller zuständigen Personen oder Rollen anzustoßen." + } + ] + } + ] + }, + { + "id": "ARCH.1.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Regelmäßige Überprüfung", + "params": [ + { + "id": "arch.1.2-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "16e72553-fd92-4cc2-b3d6-d2c72809e6b1" + } + ], + "label": "regelmäßig" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "16e72553-fd92-4cc2-b3d6-d2c72809e6b1" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "ARCH.1.2_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Übungs- und Prüfplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Verfahren und Regelungen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{regelmäßig}} und anlassbezogen auf Aktualität" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überprüfen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Architektur MUSS die Verfahren und Regelungen {{ insert: param, arch.1.2-prm1 }} und anlassbezogen auf Aktualität überprüfen." + }, + { + "id": "ARCH.1.2_gdn", + "name": "guidance", + "prose": "Eine geplante Überprüfung der etablierten Verfahren und Regelungen dient dazu festzustellen, ob diese noch wirksam, effizient und an die aktuellen Gegebenheiten angepasst sind. Eine anlassbezogene Überprüfung wird durch spezifische Ereignisse ausgelöst, wie etwa einen schwerwiegenden Sicherheitsvorfall, eine strategische Neuausrichtung der IT oder neue gesetzliche Anforderungen. Der Zweck dieser Anforderung ist es, die kontinuierliche Verbesserung und Anpassungsfähigkeit des Prozesses sicherzustellen, da veraltete Regelungen neuen technologischen Entwicklungen oder Bedrohungen nicht mehr gerecht werden könnten; ein vor Jahren für monolithische Anwendungen konzipierter Prozess ist beispielsweise für agile Entwicklungsmethoden oder Microservice-Architekturen ungeeignet. Die regelmäßige Überprüfung kann die Effektivität des Sicherheitsmanagements langfristig aufrechterhalten und die Resilienz der Institution stärken." + } + ] + } + ] + }, + { + "id": "ARCH.2", + "title": "Netzdesign", + "props": [ + { + "name": "label", + "value": "2" + }, + { + "name": "alt-identifier", + "value": "db326398-c2cb-479f-99c4-860cac44855b" + } + ], + "controls": [ + { + "id": "ARCH.2.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Netzsegmente", + "props": [ + { + "name": "alt-identifier", + "value": "ec31da4c-f5bd-43f5-b94f-f0fb7a5e1a18" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lateral Movement, Separation of Concerns" + } + ], + "parts": [ + { + "id": "ARCH.2.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Netze" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Netzplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine Unterteilung des internen Netzes in Netzsegmente" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "unter Berücksichtigung der Anforderungen der Institution und des Schutzbedarfes" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Architektur für Netze SOLLTE eine Unterteilung des internen Netzes in Netzsegmente unter Berücksichtigung der Anforderungen der Institution und des Schutzbedarfes verankern." + }, + { + "id": "ARCH.2.1_gdn", + "name": "guidance", + "prose": "Die Aufteilung in Netzsegmente (auch Netzdomänen oder Subnetze genannt) ermöglicht es, verschiedene Zonen mit unterschiedlichen Schutzanforderungen – z. B. Büro-IT, Produktionsnetz, Managementnetz – getrennt zu betrachten und gezielt zu schützen. Relevant sind dabei (falls vorhanden) auch WLANs/SSIDs, IoT-Geräte wie vernetzte Kühlschränke, Hausleittechnik, operative Technologien, Industrielle Steuerungssysteme oder Netze zum Zugriff auf Speichersysteme (Storage Area Network, SAN). Die Anforderung gilt auch, wenn die Systeme nur noch als VMs oder Container existieren. Die Segmentierung kann hier in die virtuelle Netzwerk‑Ebene verlagert werden, sodass die Segmentierung weder vom Hypervisor noch von den Workloads umgangen wird. Die Einteilung in Segmente kann anhand einer Klassifizierung von Netzen erfolgen (z.B. nach Schutzbedarf der dort verarbeiteten Daten oder nach Risikoklassen angeschlossener Systeme) erfolgen. Beispiele hierfür sind Internet-Domäne, Endgeräte-Domäne, Domäne für zentrale Serverdienste, Domäne für Systeme hoher Vertraulichkeit. Alternativ können auch organisatorische Domänen verwendet werden, z. B. Personalwesen, Marketing, Finanzverwaltung, Innere Verwaltung. Die Filterkriterien können sich nach den Sicherheitsanforderungen der jeweiligen Netze im Einzelnen oder nach einer vorgenommenen Klassifikation der Netze richten. Hierzu gehören insbesondere die Anforderungen zur Authentifizierung und Autorisierung von Assets." + } + ] + }, + { + "id": "ARCH.2.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Einschränkung von Verbindungen zwischen Segmenten", + "params": [ + { + "id": "arch.2.2-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "6ff2de76-4a01-42cc-a794-1a6ec9313f46" + } + ], + "label": "Kriterien" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "6ff2de76-4a01-42cc-a794-1a6ec9313f46" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lateral Movement, Separation of Concerns" + } + ], + "parts": [ + { + "id": "ARCH.2.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Netze" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Netzplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Verbindungen zwischen Netzsegmenten" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "anhand von {{Kriterien}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "einschränken" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Architektur für Netze SOLLTE Verbindungen zwischen Netzsegmenten anhand von {{ insert: param, arch.2.2-prm1 }} einschränken." + }, + { + "id": "ARCH.2.2_gdn", + "name": "guidance", + "prose": "Dient dem Ziel, die Angriffsfläche innerhalb interner und externer Netze zu reduzieren und die Ausbreitung potenzieller Schadsoftware oder unberechtigter Zugriffe einzudämmen. Ohne solche Begrenzungen könnte ein einzelner kompromittierter Bereich direkten Zugriff auf weitere sensible Segmente erhalten und dadurch Geschäftsprozesse massiv beeinträchtigen. Beispielsweise benötigt ein Endgerät Verbindungen zu internen Servern und Druckern, während Gäste lediglich auf den Internetanschluss Zugriff benötigen. Im Blick auf weitreichende Sicherheitsvorfälle ist hier insbesondere die Trennung interner Netzsegmente vom Internet zu beachten. Diese Regeln können auf Kriterien wie Gerätetyp (z. B. Laptop, IoT-Gerät), Benutzerrolle (z. B. Administrator, Gast), physischem Anschlussort oder Uhrzeit basieren. Eine klare Trennung von Benutzergruppen über VLANs oder dynamische ACLs erhöht die Sicherheit und Transparenz. Für die Einführung in eine bestehende Umgebung kann ein gestuftes Vorgehen gewählt werden: (1) Zunächst wird ein Überwachungsmodus (\"Audit-Only\") aktiviert, der protokolliert, welche Zugriffe durch eine strengere Richtlinie verweigert würden, ohne sie tatsächlich zu blockieren. (2) Anschließend werden diese Protokolle analysiert, um legitime, für den Geschäftsbetrieb notwendige Zugriffe zu identifizieren und diese gezielt in die jeweiligen Rollen und Berechtigungsgruppen aufzunehmen. (3) Erst wenn keine legitimen Zugriffe mehr in den Protokollen als \"verweigert\" auftauchen, wird die Richtlinie scharf geschaltet und blockiert aktiv alle nicht explizit erlaubten Zugriffe." + } + ], + "controls": [ + { + "id": "ARCH.2.2.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Externe Netzanschlüsse", + "props": [ + { + "name": "alt-identifier", + "value": "56a54bba-30a4-478f-8464-bc5194cae49f" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Internet Exposure, Command & Control" + } + ], + "parts": [ + { + "id": "ARCH.2.2.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Netze" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Netzplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Verbindungen über externe Netzanschlüsse" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "einschränken" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Architektur für Netze SOLLTE Verbindungen über externe Netzanschlüsse einschränken." + }, + { + "id": "ARCH.2.2.1_gdn", + "name": "guidance", + "prose": "Dient dazu, die Angriffsfläche zu reduzieren, unerwünschte Ein- und Ausleitungen zu begrenzen und das Risiko von Datenabflüssen zu minimieren. Für mobile Systeme kann dies z. B. über das Erzwingen einer VPN-Verbindung ins gefilterte Netz der Institution oder über die Verwendung eines direkten Internetzugangs erfolgen, welcher über einen Direct-Internet-Access Agenten abgesichert ist." + } + ] + }, + { + "id": "ARCH.2.2.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Gastnetz", + "props": [ + { + "name": "alt-identifier", + "value": "73c9c122-d3f6-42f9-a6f1-6b454a8b1853" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lateral Movement, Separation of Concerns" + } + ], + "parts": [ + { + "id": "ARCH.2.2.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Netze" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Netzplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Verbindungen zwischen Gastnetz und internem Netz" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "einschränken" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Architektur für Netze SOLLTE Verbindungen zwischen Gastnetz und internem Netz einschränken." + }, + { + "id": "ARCH.2.2.2_gdn", + "name": "guidance", + "prose": "Wenn Gäste der Institution sich mit dem internen Netz verbinden, könnten Schadprogramme in das Netz gelangen oder unbeabsichtigte Datenflüsse über die Verbindung fließen. Daher ist es sinnvoll, einen vom übrigen Netz getrennten Gastzugang einzurichten, z.B. in Besprechungs-, Veranstaltungs- und Schulungsräumen. Wenn die Einschränkungen von Gastnetzen lockerer sind als die interner Netze am gleichen Standort, so zeigt die Erfahrung, dass auch interne Mitarbeitende gerne auf Gastnetze zurückgreifen. Dadurch könnte es zur Umgehung der internen Schutzmaßnahmen kommen. Daher ist es empfehlenswert, für das Gastnetz gleiche oder strengere Einschränkungen zu wählen oder die Nutzung des Gastnetzes durch Mitarbeitende technisch oder organisatorisch zu beschränken." + } + ] + }, + { + "id": "ARCH.2.2.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Segmentierung von Servern und Clients", + "props": [ + { + "name": "alt-identifier", + "value": "8af42e9e-5340-4690-9567-88a5309aee3a" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lateral Movement, Separation of Concerns" + } + ], + "parts": [ + { + "id": "ARCH.2.2.3_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Netze" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Netzplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Verbindungen zwischen Hostsystemen und Clients" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "einschränken" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Architektur für Netze SOLLTE Verbindungen zwischen Hostsystemen und Clients einschränken." + }, + { + "id": "ARCH.2.2.3_gdn", + "name": "guidance", + "prose": "Die Anforderung gilt auch, wenn die IT-Systeme nur noch als VMs oder Container existieren. Die Segmentierung kann hier in die virtuelle Netzwerk‑Ebene verlagert werden, sodass die Segmentierung weder vom Hypervisor noch von den Workloads umgangen wird. Die Anforderung kann auch physisch durch dedizierte Infrastruktur für VDI/Client‑VMs umgesetzt werden. Um die klare Trennung sicherzustellen, wird empfohlen kein Bridging zwischen Port‑Groups sowie auf dem virtuellen Switch keinen promiscuous Mode zu verwenden." + } + ] + }, + { + "id": "ARCH.2.2.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "VoIP-Netz", + "props": [ + { + "name": "alt-identifier", + "value": "02cac8a8-60e3-481d-96bf-3fa484afea78" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lateral Movement, Separation of Concerns" + } + ], + "parts": [ + { + "id": "ARCH.2.2.4_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Netze" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Netzplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Verbindungen zwischen Daten- und VoIP-Systemen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "einschränken" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Architektur für Netze KANN Verbindungen zwischen Daten- und VoIP-Systemen einschränken." + }, + { + "id": "ARCH.2.2.4_gdn", + "name": "guidance", + "prose": "Werden sowohl Telefonie als auch andere Daten über dasselbe Netz geführt, so könnte dies bei einem Netzausfall dazu führen, dass keine Kommunikation mehr möglich ist, auch nicht zur Meldung oder Behebung der Störung. Die Wahrscheinlichkeit kann durch getrennt betriebene Voice- und Datennetze verringert werden. Für weitere Details siehe „Kompendium für organisationsinterne Telekommunikationssysteme mit erhöhtem Schutzbedarf\"." + } + ] + }, + { + "id": "ARCH.2.2.5", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "OT-Systeme", + "props": [ + { + "name": "alt-identifier", + "value": "43badc07-0172-4666-9a72-0c0289b7f540" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lateral Movement, Separation of Concerns" + } + ], + "parts": [ + { + "id": "ARCH.2.2.5_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Netze" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Netzplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Verbindungen zwischen OT-Systemen und anderen IT-Systemen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "einschränken" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Architektur für Netze SOLLTE Verbindungen zwischen OT-Systemen und anderen IT-Systemen einschränken." + }, + { + "id": "ARCH.2.2.5_gdn", + "name": "guidance", + "prose": "IT- und OT-Systeme haben typischerweise sehr unterschiedliche Risikoprofile (IT: Schnelllebig, viele Cybersicherheitsmechanismen, OT: Stabilität, weniger Cybersicherheitsmechanismen, beispielsweise industrielle Steuerungssysteme und Gebäudeautomationstechnik). Insbesondere der Zugriff auf OT-Funktionen (z. B. Öffnung zentraler Schließanlage) ist mit erhöhtem Risiko verbunden und könnte auch versehentlich z.B. durch Portscanner ausgelöst werden. Stattdessen ist es empfehlenswert, den Zugriff zu solchen Netzen nur über dafür vorgesehene Quellen zu ermöglichen (z. B. Sprungserver, bestimmte auslösende OT-Systeme)." + } + ] + }, + { + "id": "ARCH.2.2.6", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Demilitarisierte Zone", + "props": [ + { + "name": "alt-identifier", + "value": "f9e8c80d-0043-42ac-a71b-73ff1e6cad50" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lateral Movement" + } + ], + "parts": [ + { + "id": "ARCH.2.2.6_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Netze" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Netzplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine demilitarisierte Zone" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "installieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Architektur für Netze SOLLTE eine demilitarisierte Zone installieren." + }, + { + "id": "ARCH.2.2.6_gdn", + "name": "guidance", + "prose": "Unter einer Demilitarisierten Zone versteht man in diesem Kontext ein logisch oder physisch getrenntes Teilnetz, in dem Systeme mit exponierten Diensten – wie Webserver, Mail-Gateways oder VPN-Endpunkte – betrieben werden. Systeme der Institution, die sowohl aus dem öffentlichen Netz als auch aus dem internen Netz erreichbar sind, werden in einer demilitarisierten Zone (DMZ) so betrieben, dass (1) der Netzverkehr zwischen dem System und dem öffentlichen Netz gefiltert wird und (2) der Netzverkehr zwischen dem System und anderen internen Netzen gefiltert wird. Eine DMZ kann sowohl durch dedizierte Hardware-Firewalls als auch durch virtuelle Netzwerksegmente umgesetzt werden. Ohne eine solche Trennung könnte ein kompromittierter Webserver direkt als Sprungbrett ins interne Netz dienen oder Schadsoftware könnte sich ungehindert auf sensible Systeme ausbreiten. Mit einer DMZ kann eine Institution hingegen erreichen, dass kompromittierte Systeme isoliert bleiben und sicherheitskritische interne Netze weiterhin geschützt sind." + } + ] + }, + { + "id": "ARCH.2.2.7", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Management-Netz", + "props": [ + { + "name": "alt-identifier", + "value": "d02f23d0-9c15-4811-838f-6440ee744334" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lateral Movement, Separation of Concerns" + } + ], + "parts": [ + { + "id": "ARCH.2.2.7_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Netze" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Netzplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "ein oder mehrere Management-Netze" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "installieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Architektur für Netze SOLLTE ein oder mehrere Management-Netze installieren." + }, + { + "id": "ARCH.2.2.7_gdn", + "name": "guidance", + "prose": "Ein Management-Netz ist ein physisch oder durch Netzfilter separiertes Netzsegment, das dediziert für die Überwachung, Verwaltung und Wartung von IT-Systemen bestimmt ist. Es ist von anderen Produktions- und Datennetzen getrennt, um den Zugriff auf kritische Verwaltungsfunktionen zu schützen und die Verfügbarkeit dieser Zugänge auch bei Problemen im restlichen Netz zu sichern. Dies gilt auch für virtualisierte Systeme. Im Kontext der Containerisierung empfiehlt es sich, administrative Zugänge auf Applikations-Container immer über die Container-Runtime erfolgen zu lassen." + } + ] + }, + { + "id": "ARCH.2.2.8", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Segmentierung von Test und Betrieb", + "props": [ + { + "name": "alt-identifier", + "value": "53ea67c4-1ee1-47f3-abc2-0f2462c57cd1" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lateral Movement, Separation of Concerns" + } + ], + "links": [ + { + "href": "#TEST.3.1.4", + "rel": "related" + } + ], + "parts": [ + { + "id": "ARCH.2.2.8_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Netze" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Netzplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Verbindungen zwischen Testumgebungen und Betrieb" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "einschränken" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Architektur für Netze SOLLTE Verbindungen zwischen Testumgebungen und Betrieb einschränken." + }, + { + "id": "ARCH.2.2.8_gdn", + "name": "guidance", + "prose": "Entwicklungs-, Staging- und Testumgebungen haben oft geringere Sicherheitsvorkehrungen als Produktivsysteme. Eine saubere Trennung zwischen Test- und Produktivumgebung verhindert Übergriffe auf das Produktivsystem und vermeidet Ressourcenkonflikte." + } + ] + }, + { + "id": "ARCH.2.2.9", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Segmentierung von IPv4 und IPv6", + "props": [ + { + "name": "alt-identifier", + "value": "dabbb234-5678-456b-8db4-4c7ac9ed1e12" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lateral Movement, Separation of Concerns" + } + ], + "parts": [ + { + "id": "ARCH.2.2.9_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Netze" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Netzplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Verbindungen zwischen IPv4 und IPv6" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "einschränken" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Architektur für Netze SOLLTE Verbindungen zwischen IPv4 und IPv6 einschränken." + }, + { + "id": "ARCH.2.2.9_gdn", + "name": "guidance", + "prose": "IPv4 und IPv6 sind grundlegende Netzprotokolle, die unterschiedliche Protokollstacks und Sicherheitseigenschaften haben. Eine Trennung von IT-Systemen mit IPv4 und IPv6 erschwert es Angreifern, Schwachstellen der Protokolle auszunutzen oder zu kombinieren und verringert die Wahrscheinlichkeit von Fehlern durch Wechselwirkungen." + } + ] + }, + { + "id": "ARCH.2.2.10", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Drucker-Netz", + "props": [ + { + "name": "alt-identifier", + "value": "48013e9f-7f90-495c-8cbd-aaf33f5060fb" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lateral Movement, Separation of Concerns" + } + ], + "parts": [ + { + "id": "ARCH.2.2.10_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Netze" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Netzplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Verbindungen zwischen Druckern und anderen Systemen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "einschränken" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Architektur für Netze SOLLTE Verbindungen zwischen Druckern und anderen Systemen einschränken." + }, + { + "id": "ARCH.2.2.10_gdn", + "name": "guidance", + "prose": "Drucker können Schwachstellen aufweisen, die Angreifer ausnutzen, z.B. veraltete Firmware oder ungesicherte Netzprotokolle. Durch die Segmentierung wird die Angriffsoberfläche reduziert und die Netzüberwachung erleichtert. Die Umsetzung kann physisch oder durch VLANs erfolgen." + } + ] + }, + { + "id": "ARCH.2.2.11", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Physische Segmentierung", + "props": [ + { + "name": "alt-identifier", + "value": "8629ffa8-91c9-4ed3-b7b7-922aba672ab4" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lateral Movement, Separation of Concerns" + } + ], + "parts": [ + { + "id": "ARCH.2.2.11_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Netze" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Netzplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "den physischen Zugang auf diese" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "einschränken" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Architektur für Netze KANN den physischen Zugang auf diese einschränken." + }, + { + "id": "ARCH.2.2.11_gdn", + "name": "guidance", + "prose": "Obwohl sich eine virtuelle Vernetzung immer größerer Beliebtheit erfreut, können Konfigurationsfehler oder Sicherheitslücken dabei leichter zu einer Umgehung der Netztrennung führen, als wenn die Netze bereits auf physischer Ebene voneinander getrennt werden." + } + ] + }, + { + "id": "ARCH.2.2.12", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Sprungserver", + "props": [ + { + "name": "alt-identifier", + "value": "c907e5e0-bccc-4467-9962-7f4972b0ad8f" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lateral Movement, Separation of Concerns" + } + ], + "parts": [ + { + "id": "ARCH.2.2.12_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Netzplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Sprungserver" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "installieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Architektur KANN Sprungserver installieren." + }, + { + "id": "ARCH.2.2.12_gdn", + "name": "guidance", + "prose": "Ein Sprungserver (englisch „jump server“ oder „jump host“) ist ein speziell abgesicherter Server, der als einzig vorgesehener Einstiegspunkt in ein Verwaltungsnetz oder zu administrierten Systemen dient. Alle administrativen Sitzungen laufen über diesen zentralen Knotenpunkt, wodurch die Angriffsfläche reduziert und die Nachvollziehbarkeit erhöht wird. Ohne Sprungserver könnte ein Angreifer beispielsweise über kompromittierte Administrator-Notebooks unbemerkt direkt auf zentrale Systeme zugreifen und dort Manipulationen durchführen. Ein Sprungserver kann hingegen alle Management-Zugriffe zentral kanalisieren, sodass verdächtige Aktivitäten leichter erkannt und im Nachhinein nachvollzogen werden können. Praktische Umsetzungen können sein: (1) der Einsatz eines dedizierten, gehärteten Servers mit restriktiven Firewall-Regeln, (2) die Nutzung von Mehrfaktor-Authentisierung und zentralem Benutzer-Management auf dem Sprungserver, (3) eine verpflichtende Session-Aufzeichnung oder Protokollierung sämtlicher Administrationsvorgänge." + } + ] + } + ] + }, + { + "id": "ARCH.2.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Mikrosegmentierung", + "props": [ + { + "name": "alt-identifier", + "value": "193a28ca-0382-4998-874d-4c08b6326f26" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Zero Trust, Advanced Persistent Threats (APT), Lateral Movement" + } + ], + "parts": [ + { + "id": "ARCH.2.3_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Netzplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Verbindungen zu allen anderen IT-Systemen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "einschränken" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Architektur für IT-Systeme KANN Verbindungen zu allen anderen IT-Systemen einschränken." + }, + { + "id": "ARCH.2.3_gdn", + "name": "guidance", + "prose": "Mikrosegmentierung ist die Unterteilung des Netzes in möglichst kleine Segmente (z.B. pro IT-System oder Server-Anwendung). Für jedes dieser Segmente wird die erlaubte Kommunikation definiert und gefiltert. Mikrosegmentierung sorgt dafür, dass z.B. zwei medizinische Geräte mit gleicher Rolle zwar ins gleiche VLAN dürfen, aber nicht direkt miteinander kommunizieren dürfen. Die Umsetzung kann mit dynamischen VLANs, softwaredefinierten Netzwerken (SDN) oder Netzwerk-Firewalls auf Host-Ebene erfolgen. Die Mikrosegmentierung begrenzt Angriffe, die sich lateral ausbreiten." + } + ] + }, + { + "id": "ARCH.2.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Inventar der Netze", + "props": [ + { + "name": "alt-identifier", + "value": "7b2381fe-9617-4b2a-a8da-7972b81a3909" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Inventories" + } + ], + "links": [ + { + "href": "#ASST.2.1", + "rel": "related" + } + ], + "parts": [ + { + "id": "ARCH.2.4_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Netzplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "ein Inventar der Netze" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "einschließlich interner Segmente, externer Netzanschlüsse und deren Verwendungszweck" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Architektur SOLLTE ein Inventar der Netze einschließlich interner Segmente, externer Netzanschlüsse und deren Verwendungszweck dokumentieren." + }, + { + "id": "ARCH.2.4_gdn", + "name": "guidance", + "prose": "Die Erfassung externer Netzanschlüsse – etwa zu Partnernetzen, Cloud-Diensten oder dem Internet – hilft, potenzielle Angriffspunkte zu identifizieren und gezielte Schutzmaßnahmen zu planen. Beispiele für interne Netzsegmente können klassische Trennungen wie IT-Office-Netze, SCADA-/Leittechnik-Netze oder DMZs für externe Zugriffe sein. Dabei sollten auch virtuelle Netze und virtuelle Switches berücksichtigt werden, ebenso wie Container-Infrastrukturen. Als externe Netzanschlüsse kommen etwa VPN-Gateways, dedizierte Providerverbindungen, Fernwartungszugänge oder Cloud-Endpunkte in Frage. Dabei sind nicht nur die auf den ersten Blick relevanten Datennetze, sondern auch andere Telekommunikationsanbindungen wie ISDN-Leitungen, Mobilfunkausweichstrecken oder WLAN-Roaming von Clients relevant. Der Verwendungszweck beschreibt, warum ein Segment oder Anschluss existiert – etwa für Produktivsysteme, Entwicklung, Administration oder Gastzugänge. Der Zweck von Netzsegmenten kann durch einen sprechenden Namen dokumentiert werden, z. B. Management-Netz, OT-Netz, Internetanschluss, Netz der Finanzverwaltung. Dies hilft, Zuständigkeiten und Zugriffsrechte klar zuzuordnen, z. B. anhand von Geschäftsprozessen, Organisationseinheiten oder Zielgruppen (z. B. Gäste, Vertrieb, Leitung). Dabei sind, falls vorhanden, auch WLANs/SSIDs, IoT-Geräte wie vernetzte Kühlschränke, Hausleittechnik, operative Technologien oder Industrielle Steuerungssysteme zu berücksichtigen. Informationen können aus Netzwerkmanagementsystemen, Konfigurationsdateien oder Asset-Management-Tools gewonnen werden. Die Pflege kann als wiederkehrende Aufgabe in Prozesse eingebettet oder im Rahmen von Änderungen (z. B. Change Management) angestoßen werden. Auch eine einfache Pflege in Tabellenform kann sinnvoll sein – entscheidend ist die Klarheit und Aktualität." + } + ] + }, + { + "id": "ARCH.2.5", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Netzplan", + "props": [ + { + "name": "alt-identifier", + "value": "7630e7d2-883b-4697-9b7a-b212dfa5666d" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + } + ], + "parts": [ + { + "id": "ARCH.2.5_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Netze" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Netzplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "einen Netzplan" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Architektur für Netze SOLLTE einen Netzplan dokumentieren." + }, + { + "id": "ARCH.2.5_gdn", + "name": "guidance", + "prose": "Ein Netzplan (engl. network diagram) stellt eine schematische Darstellung der logischen und physischen Struktur von Kommunikationsnetzen dar und bildet die Grundlage für Transparenz im Betrieb. Er kann einen zentralen Beitrag zur Informationssicherheit leisten, da er Transparenz über die Struktur, Verbindungen und Schutzbedarfe einer Netzwerkumgebung schafft. Ein aktueller Netzplan, aus dem sich gut die Netzstruktur erkennen lässt, ermöglicht es Anschlüssen mit hohem Risiko oder von einzelnen Ausfallstellen (Single Points of Failure) auf einen Blick zu erkennen. Für die Umsetzung ist es nicht erforderlich, jedes Subnetz einzeln in einer Grafik zu visualisieren. Vielmehr kann es hilfreich sein, Netzpläne auf einem abstrahierten Level zu halten, z. B. als logische Übersicht mit Domänen, Segmenten und Übergängen (bereinigter Netzplan). Eine Visualisierung als Layer-Modell (z. B. Infrastruktur-, Kommunikations- und Applikationsebene) kann zusätzliche Einblicke schaffen. Auch eine einfache Pflege als visuelle Skizze kann sinnvoll sein – entscheidend ist die Klarheit und Aktualität." + } + ] + }, + { + "id": "ARCH.2.6", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Topologieüberwachung", + "params": [ + { + "id": "arch.2.6-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "f97736f7-f2c7-4366-a996-7e28512972de" + } + ], + "label": "regelmäßig" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "f97736f7-f2c7-4366-a996-7e28512972de" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + } + ], + "parts": [ + { + "id": "ARCH.2.6_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Netze" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Einhaltung der Netzarchitektur" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{regelmäßig}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überprüfen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Architektur für Netze SOLLTE die Einhaltung der Netzarchitektur {{ insert: param, arch.2.6-prm1 }} überprüfen." + }, + { + "id": "ARCH.2.6_gdn", + "name": "guidance", + "prose": "Unbeabsichtigte Netzverbindungen können z.B. über falsch gesteckte Kabel, WLAN auf Clients oder Modems im öffentlichen Telefonnetz (PSTN) an einer TK-Anlage entstehen. Die Anforderung kann durch Netzscans, Software zur Topologieüberwachung oder Protokollanalyse umgesetzt werden. Hierbei sind auch virtualisierte Systeme auf VM-Hosts zu berücksichtigen." + } + ] + } + ] + }, + { + "id": "ARCH.3", + "title": "Wireless LAN", + "props": [ + { + "name": "label", + "value": "3" + }, + { + "name": "alt-identifier", + "value": "3aec9759-e015-4571-84b0-9eeac4833a62" + } + ], + "controls": [ + { + "id": "ARCH.3.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Netzabdeckung", + "props": [ + { + "name": "alt-identifier", + "value": "57639fa6-7898-4ad8-91c5-cc77106e0d02" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + } + ], + "parts": [ + { + "id": "ARCH.3.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "WLANs" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Netzplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Netzabdeckung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "testen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Architektur für WLANs SOLLTE die Netzabdeckung testen." + }, + { + "id": "ARCH.3.1_gdn", + "name": "guidance", + "prose": "Drahtlose Netzanbindungen sind schwerer zu schützen als kabelgebundene Netze, da der Perimeter des Netzes schwerer zu erkennen ist. Das erschwert es, die Netzverfügbarkeit zu gewährleisten und gleichzeitig den Zugang zum Netz vor unbefugtem Zugriff oder Störungen zwischen Netzen zu schützen. Zudem können Wände und andere strahlende Geräte wie Mikrowellen-Geräte oder Bluetooth-Sender den Empfang beeinträchtigen. Ein Test des Empfangs an wichtigen Standorten unter realen Bedingungen hilft, die WLAN-Qualität zu gewährleisten. Der Empfang in den verschiedenen Frequenzbändern kann dabei unterschiedlich ausfallen. Für weitere Informationen, siehe Allgemeinzuteilungen von Frequenzen für Mobilfunkanwendungen, DECT, WLAN, CB-Funk und ähnliche Anwendungen der Bundesnetzagentur. Abdeckungsbereich ist der Bereich, in dem das WLAN mit gewöhnlichen Endgeräten genutzt werden kann. Relevant ist dabei auch die Abdeckung aller Orte, an denen sich Gäste aufhalten, sowie an Orte an denen gerade kein Empfang gewünscht ist, z.B. Serverräume oder abhörsichere Räume." + } + ] + }, + { + "id": "ARCH.3.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Einschränkung in Sicherheitsbereichen", + "props": [ + { + "name": "alt-identifier", + "value": "0ecd6068-4509-4cb5-bf12-b35076cc88e3" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + } + ], + "parts": [ + { + "id": "ARCH.3.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "WLANs" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Netzplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "in Sicherheitsbereichen die Ausstrahlung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "einschränken" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Architektur für WLANs KANN in Sicherheitsbereichen die Ausstrahlung einschränken." + }, + { + "id": "ARCH.3.2_gdn", + "name": "guidance", + "prose": "Hierzu gehören beispielsweise abhörsichere Räume oder Serverräume, von denen aus keine Daten ins Internet gesendet werden sollen. Dies kann z.B. durch die Reduktion der Sendeleistung in benachbarten Räumen oder die Isolierung der Räume erfolgen." + } + ] + }, + { + "id": "ARCH.3.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "SSIDs", + "props": [ + { + "name": "alt-identifier", + "value": "06d3eb79-4326-4bd8-87c0-9808909d29c7" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + } + ], + "parts": [ + { + "id": "ARCH.3.3_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "WLANs" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Netzplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "institutionsspezifische SSIDs" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Architektur für WLANs SOLLTE institutionsspezifische SSIDs aktivieren." + }, + { + "id": "ARCH.3.3_gdn", + "name": "guidance", + "prose": "Viele WLAN-Geräte bringen ab Werk eingestellte Netznamen (Default SSID) mit, aus denen sich häufig Rückschlüsse auf eingesetzte Geräte oder sogar Zugangsdaten ziehen lassen. Eigene SSIDs können Nutzenden die Zuordnung der Netze zur Institution oder deren Unterscheidung erleichtern, wenn hierfür sprechende Namen konfiguriert werden (z.B. \"Institutionsname-Gastnetz\")." + } + ] + }, + { + "id": "ARCH.3.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Verschlüsselte Netzanbindung", + "params": [ + { + "id": "arch.3.4-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "45bb11ba-1018-430e-be4f-7cae54407f3c" + } + ], + "label": "nach einem anerkannten Standard" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "45bb11ba-1018-430e-be4f-7cae54407f3c" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + } + ], + "parts": [ + { + "id": "ARCH.3.4_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "WLANs" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Netzanbindung" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{nach einem anerkannten Standard}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verschlüsseln" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Architektur für WLANs SOLLTE die Netzanbindung {{ insert: param, arch.3.4-prm1 }} verschlüsseln." + }, + { + "id": "ARCH.3.4_gdn", + "name": "guidance", + "prose": "Ohne eine sichere Verschlüsselung könnte ein Angreifer durch „Sniffing“ sensible Inhalte wie Passwörter, E-Mails oder Geschäftsdaten abfangen oder sogar schadhaften Datenverkehr in die Kommunikation einschleusen. Ebenso könnte ein schwacher oder veralteter Standard wie WEP einem Angreifer ermöglichen, das WLAN-Passwort innerhalb weniger Minuten zu knacken und damit vollständigen Netzzugang zu erlangen. Eine zeitgemäße und wirksame Verschlüsselung kann dagegen die Vertraulichkeit und Integrität der Kommunikation sicherstellen und bietet Schutz vor Angriffen wie „Man-in-the-Middle“-Manipulationen oder unerwünschtem Zugriff über „Rogue Clients“. Netzanbindung bedeutet hier, dass nicht nur die über das Netz transportierten Daten verschlüsselt werden, sondern auch die Kommunikation selbst, z.B. die Adressen kommunizierender Geräte. Anerkannten Standards meint z.B. WPA3-Enterprise mit 802.1X und EAP-TLS. Für Details siehe IEEE 80211, WPA3." + } + ] + } + ] + }, + { + "id": "ARCH.4", + "title": "Zugangsbeschränkungen", + "props": [ + { + "name": "label", + "value": "4" + }, + { + "name": "alt-identifier", + "value": "c2d727b8-fcd4-46d5-a64b-b3901ea738d8" + } + ], + "controls": [ + { + "id": "ARCH.4.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Netzzugangskontrolle", + "props": [ + { + "name": "alt-identifier", + "value": "9ec9762e-c115-4e56-8b45-b88a872f47ce" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Network Access Control, Rogue Access Point" + } + ], + "links": [ + { + "href": "#DET.4.4", + "rel": "related" + }, + { + "href": "#DET.3.1.8", + "rel": "related" + } + ], + "parts": [ + { + "id": "ARCH.4.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Interne Netzsegmente" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "den Zugriff von IT-Systemen auf das Netzsegment" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "im Einklang mit den zugehörigen Anforderungen des Identitäts- und Berechtigungsmanagements" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "authentifizieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Architektur für Interne Netzsegmente SOLLTE den Zugriff von IT-Systemen auf das Netzsegment im Einklang mit den zugehörigen Anforderungen des Identitäts- und Berechtigungsmanagements authentifizieren." + }, + { + "id": "ARCH.4.1_gdn", + "name": "guidance", + "prose": "Unautorisierte Systeme könnten Ausgangspunkt von Angriffen sein oder zu unbeabsichtigten Störungen im Netz führen. Netzwerkzugangskontrolle (Network Access Control, NAC) bietet eine wirksame Möglichkeit, den Zugriff auf Netzwerke kontrolliert zu steuern, insbesondere in schützenswerten Bereichen wie Management-Netzen, Produktionssystemen oder Forschungsumgebungen. Die Auswahl der Netzbereiche für die Netzzugangskontrolle richtet sich nach dem Schutzbedarf oder Risikoprofil. Dabei empfiehlt sich zu dokumentieren, welche Zonen mit NAC abgesichert werden und warum andere bewusst nicht berücksichtigt werden (z.B. aufgrund technischer Einschränkungen oder fehlender Relevanz). Die Umsetzung kann (1) auf Zertifikaten basieren (X.509, EAP‑TLS or mTLS), (2) auf Zugangskonten basieren (IEEE 802.1X, RADIUS), (3) auf dynamischen Prüfungen basieren (z.B. Sicherheitspatches). Eine Authentifizierung, die nur auf MAC-Adressen basiert, gilt dagegen nicht mehr als zeitgemäß, da MAC-Adressen sehr leicht ausgelesen und auf Systemen eingestellt werden könnten und so unberechtigte IT-Systeme zu leicht auch Zugang erhalten. Wenn Systeme die Netzzugangskontrolle nicht oder nur unzureichend unterstützen, ist für solche Systeme anstelle einer Netzzugangskontrolle die Nutzung eines eigenen Netzsegmentes empfehlenswert. Für die Verbindung zwischen RADIUS-Servern, Switches und Verzeichnisdiensten kommen Protokolle wie RadSec, IPsec oder LDAPS in Betracht. Die Verwendung nur einer einzigen Serverkonfigurationen (z.B. ein gemeinsamer RADIUS-Server für NAC und VPN) führt zu Komplexität und Angriffspunkten. Daher werden getrennte Systeme empfohlen. Dies gilt insbesondere bei unterschiedlichen Schutzklassen im LAN/WLAN oder Büro-/Produktionsnetz. Bei WLANs kann die Umsetzung in größeren Umgebungen mittels 802.1X (WPA3-Enterprise) und an kleineren Zugangspunkten oder Gastnetzen durch SAE (WPA3-Personal) erfolgen. Da es sich um eine automatisierte Sicherheitsrichtlinie handelt, ist hier auch die Anforderung zur Überwachung solcher Richtlinien anwendbar. Überwachungskriterien sind hier z.B. die Erreichbarkeit des RADIUS-Servers, die Antwortzeiten, die Last auf Access-Switches und andere Metriken. Für die Überwachung der Integrität ist insbesondere die Authentifizierung oder deren Fehlschlag relevant, z.B. viele abgelehnte Authentisierungen, plötzliche Deaktivierung eines Supplicants. Durch synthetische Anfragen an Testkonten kann die gesamte Authentisierungskette regelmäßig geprüft werden. Die Formulierung \"im Einklang mit den Festlegungen des Identitäts- und Berechtigungsmanagements\" bedeutet, dass die Authentifizierung so erfolgt, wie in der Praktik IDM festgelegt. Hierzu gehört insbesondere die Verwendung aktueller kryptographischer Verfahren, wie sie im Thema Kryptographie zu finden ist." + } + ], + "controls": [ + { + "id": "ARCH.4.1.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Dynamische Netzzugangskontrolle", + "params": [ + { + "id": "arch.4.1.1-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "fec4fcdf-13e7-4a32-a3e1-52dce90ea1d7" + } + ], + "label": "dynamischer Kriterien" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "fec4fcdf-13e7-4a32-a3e1-52dce90ea1d7" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Network Access Control, Rogue Access Point, Zero Trust" + } + ], + "parts": [ + { + "id": "ARCH.4.1.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Interne Netzsegmente" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "den Zugriff von IT-Systemen auf das Netzsegment" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "anhand {{dynamischer Kriterien}} im Einklang mit den zugehörigen Anforderungen des Identitäts- und Berechtigungsmanagements" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "authentifizieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Architektur für Interne Netzsegmente SOLLTE den Zugriff von IT-Systemen auf das Netzsegment anhand {{ insert: param, arch.4.1.1-prm1 }} im Einklang mit den zugehörigen Anforderungen des Identitäts- und Berechtigungsmanagements authentifizieren." + }, + { + "id": "ARCH.4.1.1_gdn", + "name": "guidance", + "prose": "Bei der dynamischen Netzzugangskontrolle (Posturing oder Dynamic NAC) wird vor dem Netzzugang auch der Zustand des IT-Systems geprüft, z.B. der aktuelle Patchlevel des Systems oder von Erkennungssignaturen. Hierzu gehört auch die softwaredefinierte Netzzugangskontrolle, die dynamisch auf Aktivitäten des Systems oder aktuelle Threat Intelligence reagieren kann. Empfehlenswert ist es hierbei, die Konfiguration der Systeme automatisiert vorzunehmen, z.B. über eine automatische Supplicant-Konfiguration beim Rollout und die Zuweisung von Zertifikaten über Enrollment-Dienste. Die Formulierung \"im Einklang mit den Festlegungen des Identitäts- und Berechtigungsmanagements\" bedeutet, dass die Authentifizierung so erfolgt, wie in der Praktik IDM festgelegt. Hierzu gehört insbesondere die Verwendung aktueller kryptographischer Verfahren, wie sie im Thema Kryptographie zu finden ist." + } + ] + }, + { + "id": "ARCH.4.1.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Quarantäne", + "props": [ + { + "name": "alt-identifier", + "value": "5f97efff-4db1-4b26-8ab9-4521108e5c0c" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Network Access Control, Rogue Access Point, Zero Trust" + } + ], + "parts": [ + { + "id": "ARCH.4.1.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Interne Netzsegmente" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "ein Quarantänenetz" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "für nicht authentifizierte IT-Systeme" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "installieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Architektur für Interne Netzsegmente KANN ein Quarantänenetz für nicht authentifizierte IT-Systeme installieren." + }, + { + "id": "ARCH.4.1.2_gdn", + "name": "guidance", + "prose": "Wenn Systeme aufgrund bestimmter Voraussetzungen sich nicht authentifizieren (z.B. installierte Sicherheitsupdates oder weil sie keine 802.1X-Anmeldung unterstützen), kann ein vollständiges blockieren aller Netzverbindungen die Verfügbarkeit erforderlicher Geschäftsprozesse unmöglich machen. Um IT-Systemen einen eingeschränkten Zugang zu Netzressourcen zu ermöglichen – etwa damit diese die Voraussetzungen durch den Download von Updates erfüllen können – kann ein Quarantänenetz eingerichtet werden, das z.B. Zugang zu bestimmten Downloadservern oder eine Meldung des Problems ermöglicht." + } + ] + } + ] + }, + { + "id": "ARCH.4.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Autorisiertes Routing", + "params": [ + { + "id": "arch.4.2-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "77aebab8-462b-4849-aaa2-9c939af5e1dc" + } + ], + "label": "eine zuständige Person oder Rolle" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "77aebab8-462b-4849-aaa2-9c939af5e1dc" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "ARCH.4.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Netze" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Routing-Verbindungen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "durch {{eine zuständige Person oder Rolle}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "autorisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Architektur für Netze SOLLTE Routing-Verbindungen durch {{ insert: param, arch.4.2-prm1 }} autorisieren." + }, + { + "id": "ARCH.4.2_gdn", + "name": "guidance", + "prose": "Dient der Kontrolle von Netzarchitekturen, um unbeabsichtigte oder böswillige Änderungen zu verhindern. Ohne eine solche Freigabe könnte ein Angreifer durch unbemerkte Manipulation von Routing-Einträgen den Datenverkehr umleiten, abhören oder blockieren; auch ein ungeschulter Administrator könnte versehentlich falsche Routen konfigurieren, wodurch kritische Dienste ausfallen könnten. Die Autorisierung kann sicherstellen, dass jede Änderung nachvollziehbar geprüft, dokumentiert und nur nach sachgerechter Bewertung umgesetzt wird, wodurch die Integrität und Verfügbarkeit der Netze erhöht werden kann. Im konkreten Kontext bedeutet „Routing-Verbindungen“ die Konfiguration von Pfaden, über die Datenpakete zwischen Netzsegmenten oder über Gateways weitergeleitet werden. „Autorisieren“ bedeutet hier die formale Freigabe nach einer sachlichen und fachlichen Prüfung, typischerweise durch Rollen wie (1) Netzwerkarchitekt, (2) IT-Sicherheitsbeauftragter oder (3) Leiter IT-Betrieb. Eine Institution kann dies umsetzen, indem sie (1) eine dokumentierte Freigabeprozedur für alle Routing-Änderungen etabliert, (2) Änderungen technisch über ein Ticket- oder Change-Management-System prüfen und protokollieren lässt, (3) rollenbasierte Zugriffsrechte in Routern und Firewalls so einschränken kann, dass nur autorisierte Personen Konfigurationsänderungen durchführen, und (4) automatisierte Plausibilitätsprüfungen oder Peer-Reviews nutzen kann, um fehlerhafte oder unsichere Routen frühzeitig zu erkennen. Die Autorisierung kann entweder einzelne Routen (z.B. für Netz A zwischen Router B und C), als auch bestimmte Routing-Regeln (z.B. Default-Routing über die zentrale Firewall) autorisieren. Sinnvoll ist es dabei das Prinzip \"so allgemein wie für den Betrieb nötig, so spezifisch wie für die Sicherheit möglich\" als Faustregel anzuwenden. Bei der Verwendung dynamischer Routing-Algorithmen kann die Anforderung umgesetzt werden, indem eingeschränkte Bereiche freigegeben werden, z.B. \"dynamisches Routing im Bereich 10.x.x.x)\"." + } + ] + }, + { + "id": "ARCH.4.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Authentifizierung von Routingprotokollen", + "props": [ + { + "name": "alt-identifier", + "value": "739ad3ad-cbbc-4809-9f20-1c59e85c864b" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "ARCH.4.3_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Netze" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Änderungen an Routing-Tabellen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "im Einklang mit den zugehörigen Anforderungen des Identitäts- und Berechtigungsmanagements" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "authentifizieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Architektur für Netze SOLLTE Änderungen an Routing-Tabellen im Einklang mit den zugehörigen Anforderungen des Identitäts- und Berechtigungsmanagements authentifizieren." + }, + { + "id": "ARCH.4.3_gdn", + "name": "guidance", + "prose": "Hierzu zählt z.B. die Authentifizierung von BGP/OSPF-Sitzungen zur Verhinderung von Route Hijacking, BGP origin validation with RPKI oder OSPF/ISIS/BGP MD5 or TTL+hMAC authentication. Die Formulierung \"im Einklang mit den Festlegungen des Identitäts- und Berechtigungsmanagements\" bedeutet, dass die Authentifizierung so erfolgt, wie in der Praktik IDM festgelegt. Hierzu gehört insbesondere die Verwendung aktueller kryptographischer Verfahren, wie sie im Thema Kryptographie zu finden ist." + } + ] + } + ] + }, + { + "id": "ARCH.5", + "title": "Perimeterschutz", + "props": [ + { + "name": "label", + "value": "5" + }, + { + "name": "alt-identifier", + "value": "8180b8ce-d57d-4a68-be79-76c647fc96f9" + } + ], + "controls": [ + { + "id": "ARCH.5.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Einschränkung und Inspektion von Verbindungen", + "props": [ + { + "name": "alt-identifier", + "value": "025c298a-7c8d-441d-b9d5-a1422556c6e1" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + } + ], + "parts": [ + { + "id": "ARCH.5.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Netze" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Firewallregeln" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Verbindungen zwischen IT-Systemen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "einschränken" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Architektur für Netze SOLLTE Verbindungen zwischen IT-Systemen einschränken." + }, + { + "id": "ARCH.5.1_gdn", + "name": "guidance", + "prose": "Über Netverbindungen können unbeabsichtigte Verbindungen aufgebaut werden oder netzbasierte Angriffe über das Internet gegen die Institution erfolgen. Unerwünschter Datenverkehr nach außen können z.B. private IP-Adressen (RFC 1918 leakage), Multicasting, TCP/UDP Ports für veraltete, angreifbare Protokolle oder ICMP-Verkehr sein. Die Beschränkung der Verbindung zwischen IT-Systemen kann sowohl durch zustandsbehaftete Paketfilter, als auch mit Application Layer Gateways umgesetzt werden. Empfehlenswert ist eine Kombination aus Allowlisting, IP-Reputationslisten, Deep Packet Inspection und Durchsatzratenbegrenzung. Hierbei können Verbindungen auch nach Kategorien autorisiert werden (z.B. anhand von IP-Subnetzen oder Voraussetzungen wie per Zertifikat authentifzierten IT-Systemen). Damit dabei keine unnötigen Verbindungen zugelassen werden, ist es wichtig, die Kategorisierung möglich genau zu wählen (z.B. möglichst einzelne Subnetze statt des ganzen Netzes oder nur bestimmte Ports oder Anwendungen zuzulassen)." + } + ], + "controls": [ + { + "id": "ARCH.5.1.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Blockieren anfälliger Netzprotokolle", + "props": [ + { + "name": "alt-identifier", + "value": "b4977fc1-727c-41c8-a397-f84ba68fc11a" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "ARCH.5.1.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Netze" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Firewallregeln" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "anfällige Netzwerkprotokolle" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "blockieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Architektur für Netze SOLLTE anfällige Netzwerkprotokolle blockieren." + }, + { + "id": "ARCH.5.1.1_gdn", + "name": "guidance", + "prose": "Anfällig sind Netzprotokolle, wenn sie veraltete oder gar keine Algorithmen zur Verschlüsselung oder Integritätsprüfung verwenden. Hierzu gehören Protokolle wie Telnet, SMB v1, SNMP v1/v2c. Für aktuelle Verschlüsselungsalgorithmen siehe BSI TR 02102." + } + ] + }, + { + "id": "ARCH.5.1.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Netzbasierte Angriffe", + "props": [ + { + "name": "alt-identifier", + "value": "09d37d0c-fda7-4f38-9aa6-f8cbae7d878d" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + } + ], + "parts": [ + { + "id": "ARCH.5.1.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Netze" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Firewallregeln" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "bekannte netzbasierte Angriffsmethoden" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "blockieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Architektur für Netze SOLLTE bekannte netzbasierte Angriffsmethoden blockieren." + }, + { + "id": "ARCH.5.1.2_gdn", + "name": "guidance", + "prose": "Netzbasierte Angriffe verwenden Netzwerktechnologien (typischerweise auf OSI Layer 2-3), z.B. Fragmentierungsangriffe. Beispiele für mögliche Maßnahmen sind DHCP snooping, ARP/Dynamic ARP Inspection, IP-source guard, BPDU guard, root guard, port-security (sticky MAC)." + } + ] + }, + { + "id": "ARCH.5.1.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "TCP-basierte Angriffe", + "props": [ + { + "name": "alt-identifier", + "value": "cc1cf52d-6be3-4e7d-a5c0-6ecce6c282b1" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + } + ], + "parts": [ + { + "id": "ARCH.5.1.3_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Netze" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Firewallregeln" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "bekannte TCP-basierte Angriffsmethoden" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "blockieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Architektur für Netze SOLLTE bekannte TCP-basierte Angriffsmethoden blockieren." + }, + { + "id": "ARCH.5.1.3_gdn", + "name": "guidance", + "prose": "TCP ist das am meisten verwendete Protokoll für die zuverlässige Datenübertragung. Durch TCP-basierte Angriffe können IT-Systeme gehackt oder Daten unbemerkt ausgeleitet werden. Beispiele sind TCP Session Hijacking (ACK-number guessing), Overlapping-Segment Attacks, TCP Reset (RST) Injection, Xmas-tree Scanning. Die Anforderung kann durch Blockieren solcher Verbindungen oder nur bestimmter Mechanismen umgesetzt werden." + } + ] + }, + { + "id": "ARCH.5.1.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "UDP-basierte Angriffe", + "props": [ + { + "name": "alt-identifier", + "value": "d2b4e523-ee05-47ae-8d5e-95f30015dce2" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + } + ], + "parts": [ + { + "id": "ARCH.5.1.4_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Netze" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Firewallregeln" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "bekannte UDP-basierte Angriffsmethoden" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "blockieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Architektur für Netze SOLLTE bekannte UDP-basierte Angriffsmethoden blockieren." + }, + { + "id": "ARCH.5.1.4_gdn", + "name": "guidance", + "prose": "UDP-basierte Angriffsmethoden (englisch: known UDP-based attack vectors) sind hierbei Techniken zu verstehen, die das User Datagram Protocol (UDP) ausnutzen. UDP ist das am meisten verwendete Protokoll für die Übertragung von Datenstreams. Aufgrund seiner verbindungslosen Eigenschaft ermöglicht UDP eine sehr schnelle Datenübertragung und wird daher oft für zeitkritische Anwendungen wie Videostreaming, VoIP oder DNS-Anfragen verwendet. Genau diese Eigenschaft macht es jedoch anfällig für Missbrauch, da die Absenderadresse leicht gefälscht werden kann (IP-Spoofing). Beispiele für Angriffe sind Sequence Number Guessing, DHCP Starvation und UDP Hole-Punching Abuse. Die Anforderung kann durch Blockieren solcher Verbindungen oder nur bestimmter Mechanismen umgesetzt werden." + } + ] + }, + { + "id": "ARCH.5.1.5", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Deaktivierung von Split Tunneling", + "props": [ + { + "name": "alt-identifier", + "value": "7ff5e3bc-64e8-4487-a77a-c4897f97431d" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Internet Exposure" + } + ], + "parts": [ + { + "id": "ARCH.5.1.5_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Externe Netzanschlüsse" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Firewallregeln" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Split Tunneling" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "blockieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Architektur für Externe Netzanschlüsse SOLLTE Split Tunneling blockieren." + }, + { + "id": "ARCH.5.1.5_gdn", + "name": "guidance", + "prose": "Um eine durchgehende Kontrolle und Absicherung des Netzverkehrs zu gewährleisten, muss verhindert werden, dass IT-Clients während einer aktiven Verbindung zum internen Netz gleichzeitig ungeschützten Zugriff auf das öffentliche Internet oder andere Netzwerke haben. Dies schließt sogenannte „Split Tunneling“-Konfigurationen aus, bei denen nur ausgewählter Datenverkehr über das VPN geleitet wird, während anderer Datenverkehr (z. B. Webzugriffe) über das lokale Netzwerk oder die Internetverbindung des Clients erfolgt." + } + ] + }, + { + "id": "ARCH.5.1.6", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Blockieren direkter Management-Verbindungen", + "props": [ + { + "name": "alt-identifier", + "value": "9e1420ba-9cc0-4d0d-a127-36881c1b90e5" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Internet Exposure" + } + ], + "parts": [ + { + "id": "ARCH.5.1.6_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Externe Netzanschlüsse" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Firewallregeln" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Verbindungen zu Management-Schnittstellen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "blockieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Architektur für Externe Netzanschlüsse SOLLTE Verbindungen zu Management-Schnittstellen blockieren." + }, + { + "id": "ARCH.5.1.6_gdn", + "name": "guidance", + "prose": "Zum Internet offene Management-Schnittstellen werden von Angreifern durch Scans leicht gefunden und sind häufig Ziel von Angriffen. Deshalb ist es sinnvoll, alle eingehenden Verbindungen zu Management-Schnittstellen aus externen Netzen zu blockieren, einschließlich der Verwaltung von VPN- und Firewallsystemen selbst. Wenn eine Administration dieser Systeme aus der Ferne erforderlich ist, so kann dieser Zugriff stattdessen über ein VPN in das interne Netz hergestellt werden, wobei auch hiermit ein erhöhten Risiko für Angriffe einhergeht." + } + ] + }, + { + "id": "ARCH.5.1.7", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Edge-Routing", + "props": [ + { + "name": "alt-identifier", + "value": "b9019268-f8d4-4820-b744-2c79c31ce75a" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Internet Exposure" + } + ], + "parts": [ + { + "id": "ARCH.5.1.7_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Externe Netzanschlüsse" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Firewallregeln" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "dynamische Routingprotokolle" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "blockieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Architektur für Externe Netzanschlüsse SOLLTE dynamische Routingprotokolle blockieren." + }, + { + "id": "ARCH.5.1.7_gdn", + "name": "guidance", + "prose": "Dynamische Routingprotokolle könnten versehentlich oder durch Angriffe unerwünschte Verbindungen ermöglichen. An den Übergangen zu externen Netzen sind statische Default-Routen deshalb die bessere Alternative." + } + ] + }, + { + "id": "ARCH.5.1.8", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Inspektion verschlüsselter Verbindungen", + "props": [ + { + "name": "alt-identifier", + "value": "657f0690-9aaf-42fb-8474-3986a22277c8" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + } + ], + "parts": [ + { + "id": "ARCH.5.1.8_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Externe Netzanschlüsse" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Firewallregeln" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "den Inhalt unverschlüsselter und verschlüsselter Verbindungen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "basierend auf der Art des Inhalts" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "einschränken" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Architektur für Externe Netzanschlüsse SOLLTE den Inhalt unverschlüsselter und verschlüsselter Verbindungen basierend auf der Art des Inhalts einschränken." + }, + { + "id": "ARCH.5.1.8_gdn", + "name": "guidance", + "prose": "Verschlüsselte Verbindungen wie VoIP über TLS oder HTTPS-Anfragen können über Sicherheitsproxies oder die Inspektion auf den Endstellen der Verbindungen inspiziert werden. Ein Proxy bzw. Proxy-Server ist ein Vermittler im Netz, der zwischen dem Client und einer Netzressource, wie einer Webseite, fungiert. Er dient als Brücke zwischen dem Client und dem Server, wobei Anfragen und Antworten stellvertretend abgewickelt werden. Proxys können Datenverkehr filtern, blockieren, oder auch speichern, um die Netzwerkleistung zu optimieren. Systeme zur Filterung von Webinhalten gehören zu den häufigsten Arten von Proxyservern, die zur Vermittlung des Internetzugangs eingesetzt werden. Diese Server können TCP-Sitzungen protokollieren und die Zugriffskontrolle durch Blockieren bestimmter URLs, IP-Adressen oder Domänennamen erzwingen. Institutionen können Web-Proxys mit benutzerdefinierten Erlaubnis- und Sperrlisten konfigurieren, um den Zugriff auf der Grundlage von Richtlinien zu regeln. Es ist jedoch zu beachten, dass Proxyserver die Nutzung virtueller privater Netzwerke (VPN) beeinträchtigen und je nach Implementierung Risiken wie Man-in-the-Middle-Angriffe (MitM) mit sich bringen können. Beispiel-Implementierungen sind Squid, Nginx, Privoxy." + } + ] + }, + { + "id": "ARCH.5.1.9", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Filterung von DNS", + "props": [ + { + "name": "alt-identifier", + "value": "4938a7c4-fdbb-4ca8-a33c-87d177d25f8b" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "ARCH.5.1.9_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Externe Netzanschlüsse" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Firewallregeln" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "unerwünschte Inhalte in DNS-Verbindungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "einschränken" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Architektur für Externe Netzanschlüsse SOLLTE unerwünschte Inhalte in DNS-Verbindungen einschränken." + }, + { + "id": "ARCH.5.1.9_gdn", + "name": "guidance", + "prose": "Unerwünschte Inhalte sind DNS-Anfragen oder -Antworten, die für Geschäftsprozesse unnötige oder sogar schädliche Daten enthalten, z.B. Verbindungen zu bekannten Malware-Domains oder zu Werbe- oder Telemetriediensten. Dies kann entweder nach dem Allowlist- oder Denylist-Ansatz erfolgen. Listen bekannter schädlicher Domains können über Threat Intelligence-Feeds oder spezielle DNS-Lösungen wie Pihole bezogen werden." + } + ] + }, + { + "id": "ARCH.5.1.10", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Webfilterung", + "params": [ + { + "id": "arch.5.1.10-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "327ca27d-e60f-47d1-8840-5bcb09340030" + } + ], + "label": "Kriterien" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "327ca27d-e60f-47d1-8840-5bcb09340030" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + } + ], + "links": [ + { + "href": "#KONF.12.1.7", + "rel": "related" + } + ], + "parts": [ + { + "id": "ARCH.5.1.10_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Externe Netzanschlüsse" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Firewallregeln" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "den Zugriff auf Webinhalte" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "anhand von {{Kriterien}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "einschränken" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Architektur für Externe Netzanschlüsse SOLLTE den Zugriff auf Webinhalte anhand von {{ insert: param, arch.5.1.10-prm1 }} einschränken." + }, + { + "id": "ARCH.5.1.10_gdn", + "name": "guidance", + "prose": "Das World Wide Web ist für zahlreiche Geschäftsprozesse essenziell. Andererseits wird das Web von Angreifern auch für die Verbreitung von illegalen Inhalten, Schadprogrammen oder Phishing verwendet. Durch unkontrollierten Webzugriff könnten etwa Schadcode, Phishing oder Datenabfluss in die Institution gelangen. Kriterien meint hier die festgelegten Maßstäbe, nach denen externe Verbindungen zu Webinhalten gefiltert oder eingeschränkt werden. Im Fachjargon spricht man von filtering criteria oder access control policies. Solche Kriterien können beispielsweise Inhaltskategorien (z. B. Glücksspiel, soziale Netzwerke, Streaming), Reputationsbewertungen von Domains (z. B. „malicious“ oder „suspicious“ laut Threat-Intelligence-Feeds), oder technische Eigenschaften (z. B. bekannte IP-Ranges, Länderzugehörigkeit, verwendete Protokolle/Ports, Signaturen) sein. Sinnvoll ist eine Kombination verschiedener Kriterien. Die Anforderung kann über Filterung im Browser, auf Systemen oder an Netzgrenzen umgesetzt werden (z.B. durch Firewalls, Sicherheitsproxies oder VPN-Gateways)." + } + ], + "controls": [ + { + "id": "ARCH.5.1.10.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Bekannte schädliche Inhalte", + "props": [ + { + "name": "alt-identifier", + "value": "3eb3dc59-6fdb-41d2-80da-65490c0156d7" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + } + ], + "parts": [ + { + "id": "ARCH.5.1.10.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Externe Netzanschlüsse" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Firewallregeln" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "bekannte schädliche Inhalte" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "einschränken" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Architektur für Externe Netzanschlüsse SOLLTE bekannte schädliche Inhalte einschränken." + }, + { + "id": "ARCH.5.1.10.1_gdn", + "name": "guidance", + "prose": "Hierzu gehören beispielsweise Schadprogramme, Phishing, Malware Command & Control Server. Zur Einschränkung kann auf öffentlich verfügbare Sperrlisten für solche Webseiten, auf Filtersysteme spezialisierter Hersteller von Firewalls und ähnlichen Systemen oder auf Daten aus der Threat Intelligence zurückgegriffen werden." + } + ] + }, + { + "id": "ARCH.5.1.10.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Bekannte illegale Inhalte", + "props": [ + { + "name": "alt-identifier", + "value": "c776fdb1-92b7-4f11-be53-41104fdd71f7" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + } + ], + "parts": [ + { + "id": "ARCH.5.1.10.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Externe Netzanschlüsse" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Firewallregeln" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "bekannte illegale Inhalte" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "einschränken" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Architektur für Externe Netzanschlüsse SOLLTE bekannte illegale Inhalte einschränken." + }, + { + "id": "ARCH.5.1.10.2_gdn", + "name": "guidance", + "prose": "Gerade bei größeren Webdiensten kann es vorkommen, dass hierüber immer wieder vereinzelt illegale Inhalte verbreitet werden, obwohl der Dienst selbst von einer legitimen Institution betrieben wird. In solchen Fällen empfiehlt es sich, die Filterung möglich passgenau vorzunehmen (also soweit möglich nur bestimmte Seiten, Seitenbereiche oder Subdomains zu filtern) und den Anbieter über die illegalen Inhalte zu informieren." + } + ] + }, + { + "id": "ARCH.5.1.10.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Speicherdienste", + "props": [ + { + "name": "alt-identifier", + "value": "205d7828-80e7-4f02-963c-582a8a38eb4d" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "ARCH.5.1.10.3_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Externe Netzanschlüsse" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Firewallregeln" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Speicherdienste" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "einschränken" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Architektur für Externe Netzanschlüsse SOLLTE Speicherdienste einschränken." + }, + { + "id": "ARCH.5.1.10.3_gdn", + "name": "guidance", + "prose": "Ausnahmen können sinnvoll sein, wenn es nach den Geschäftsprozessen erforderlich ist, die Daten öffentlich zur Verfügung zu stellen oder diese mit anderen Institutionen über den Speicherdienst auszutauschen." + } + ] + } + ] + }, + { + "id": "ARCH.5.1.11", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "P-A-P-Struktur", + "props": [ + { + "name": "alt-identifier", + "value": "bd23cb10-ab1e-42b2-81bc-b7c1705fb16a" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + } + ], + "parts": [ + { + "id": "ARCH.5.1.11_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Externe Netzanschlüsse" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine P-A-P-Struktur" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "für eingehende und ausgehende Verbindungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "installieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Architektur für Externe Netzanschlüsse SOLLTE eine P-A-P-Struktur für eingehende und ausgehende Verbindungen installieren." + }, + { + "id": "ARCH.5.1.11_gdn", + "name": "guidance", + "prose": "Die P-A-P-Struktur besteht aus 2 Paketfiltern (P) und einem Filter auf Anwendungsebene (A), die durch Hardware getrennt sind und alle Verbindungen auf Anwendungsebene filtern. In Hardware getrennte Systeme sind hier solche, die jeweils über eigene Rechenkomponenten (CPU, RAM, etc.) verfügen und nur über Netzverbindungen zusammenhängen. Dies minimiert die Angriffsfläche für übergreifende Angriffe wie Covert Channel oder Side Channel." + } + ] + }, + { + "id": "ARCH.5.1.12", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Software-definierte Verbindungen", + "props": [ + { + "name": "alt-identifier", + "value": "e1e4bec9-8dc4-4062-a025-6ea70eedb9c9" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "parts": [ + { + "id": "ARCH.5.1.12_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Netze" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Verbindungen zwischen IT-Systemen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "anhand dynamischer Kriterien" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "einschränken" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Architektur für Netze KANN Verbindungen zwischen IT-Systemen anhand dynamischer Kriterien einschränken." + }, + { + "id": "ARCH.5.1.12_gdn", + "name": "guidance", + "prose": "Software-definierte Verbindungen sind logisch kontrollierte Netzwerkpfade, deren Zugriffsbedingungen nicht statisch hinterlegt, sondern anhand aktueller Merkmale bewertet werden; dynamische Kriterien meint dabei festgelegte Filterregeln, deren Werte situativ ermittelt werden, etwa über „context attributes“ oder „dynamic policies“. Solche Merkmale können als contextual signals wie momentane Auslastung, Gerätezustand („device posture“) oder zeitliche Rahmenbedingungen interpretiert werden, während die zugrunde liegenden Regeln unverändert bleiben und nur ihre Bewertung variiert. Dies kann helfen, laterale Bewegungen einzudämmen und kann gleichzeitig unerwartete Zugriffe in veränderten Betriebszuständen abblocken; ein Angriff, der unentdeckt Systeme durchqueren könnte, oder ein kompromittierter Client, der außerhalb definierter Parameter agiert, könnte dadurch abgewehrt werden. Praktisch kann dies über segmentierende „Software-Defined Networking“-Mechanismen, kontextabhängige Firewall-Policies oder adaptive Access-Control-Engines erfolgen. Eine angemessene Absicherung ist hier zu verstehen als ein Bündel verlässlicher Signale, die den Zustand eines Endpunkts oder Dienstes authentisch widerspiegeln. Als Varianten kommen etwa kontextabhängige SDN-Flows, regelbasierte Mikrosegmentierung über Identity-Tags oder der Einsatz von Policy-Engines infrage, die ihre Entscheidungen anhand dynamisch erfasster Werte wie Geräteintegrität, Standort oder Risikobewertung fällen." + } + ] + }, + { + "id": "ARCH.5.1.13", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Produktdiversität", + "props": [ + { + "name": "alt-identifier", + "value": "32682181-5136-4d4b-8466-3fd3a1d3b03c" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Advanced Persistent Threats (APT)" + } + ], + "parts": [ + { + "id": "ARCH.5.1.13_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Externe Netzanschlüsse" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "für die Filterung diverse Produkte unterschiedlicher Hersteller" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "für eingehende und ausgehende Verbindungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "installieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Architektur für Externe Netzanschlüsse KANN für die Filterung diverse Produkte unterschiedlicher Hersteller für eingehende und ausgehende Verbindungen installieren." + }, + { + "id": "ARCH.5.1.13_gdn", + "name": "guidance", + "prose": "Wenn nur gleichartige Filtersysteme verwendet werden, könnten Angreifer eine Schwachstelle zweimal hintereinander ausnutzen, um Netzzugang zu erhalten. Der Einsatz verschiedener, voneinander unabhängiger Hersteller hintereinander verringert die Wahrscheinlichkeit, dass beide Systeme gleichzeitig anfällig sind." + } + ] + } + ] + }, + { + "id": "ARCH.5.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Blockieren direkter öffentlicher Verbindungen", + "props": [ + { + "name": "alt-identifier", + "value": "b94287af-31a1-4500-a8da-89583fdaef92" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + } + ], + "parts": [ + { + "id": "ARCH.5.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Firewallregeln" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "direkte Verbindungen von diesen ins öffentliche Netz" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "blockieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Architektur für IT-Systeme SOLLTE direkte Verbindungen von diesen ins öffentliche Netz blockieren." + }, + { + "id": "ARCH.5.2_gdn", + "name": "guidance", + "prose": "Direkte Verbindungen sind hier alle Verbindungen, die nicht von der Filterung erfasst werden. Die Anforderung ist für Firewallsysteme umgesetzt, wenn deren eingehende Verbindungen ebenfalls vollständig gefiltert werden, bevor sie Daten an Systemschnittstellen senden können." + } + ] + } + ] + }, + { + "id": "ARCH.6", + "title": "Vertraulichkeit und Integrität im Weitverkehrsnetz", + "props": [ + { + "name": "label", + "value": "6" + }, + { + "name": "alt-identifier", + "value": "074c7160-e467-4ad7-9625-7ae1327982a4" + } + ], + "controls": [ + { + "id": "ARCH.6.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Kontrollierte Verbindungsführung", + "params": [ + { + "id": "arch.6.1-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "acd884af-7aad-470c-bfcf-216cff90e9be" + } + ], + "label": "physisch oder logisch" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "acd884af-7aad-470c-bfcf-216cff90e9be" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "parts": [ + { + "id": "ARCH.6.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Externe Netzanschlüsse" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine {{physisch oder logisch}} kontrollierte Verbindungsführung" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "für Weitverkehrsverbindungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Architektur für Externe Netzanschlüsse KANN eine {{ insert: param, arch.6.1-prm1 }} kontrollierte Verbindungsführung für Weitverkehrsverbindungen aktivieren." + }, + { + "id": "ARCH.6.1_gdn", + "name": "guidance", + "prose": "Unter einer physisch kontrollierten Verbindungsführung kann in diesem Kontext die Verwendung dedizierter Leitungswege (Dark Fiber), sowie Hardware-Komponenten wie Router, Firewalls oder Trennstellen verstanden werden, die den Zugriff auf Leitungen oder Ports unmittelbar begrenzen. Eine logisch kontrollierte Verbindungsführung kann durch softwarebasierte Mechanismen wie VLANs, VPN-Tunnel oder Routing-Regeln erfolgen, die den Datenverkehr unabhängig von der physischen Leitung steuern. Ohne eine kontrollierte Verbindungsführung könnte ein Angreifer über eine ungeschützte oder direkt angebundene Leitung in interne Systeme eindringen und dort Schadsoftware platzieren, Daten manipulieren oder vertrauliche Informationen abziehen. Ebenso könnte durch eine unzureichend kontrollierte Verbindung ein Ausfall der Netzstabilität eintreten, etwa wenn über eine falsch konfigurierte Schnittstelle großflächiger Datenverkehr einbricht und produktive Systeme beeinträchtigt. Eine kontrollierte Architektur kann dagegen Angriffsflächen reduzieren, Datenströme nachvollziehbar machen und die Sicherheit der Informationsflüsse zwischen Institution und externen Partnern oder Netzanbietern erhöhen. Die Umsetzung kann beispielsweise durch klar definierte Übergabepunkte zum externen Netz erfolgen, an denen sämtliche eingehenden und ausgehenden Verbindungen zentral zusammenlaufen und durch Filter- oder Segmentierungsmechanismen geprüft werden." + } + ] + }, + { + "id": "ARCH.6.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Verschlüsselung von Weiterverkehrsverbindungen", + "params": [ + { + "id": "arch.6.2-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "1999335e-7d66-4dc5-8960-8115234e8e23" + } + ], + "label": "einem anerkannten Standard" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "1999335e-7d66-4dc5-8960-8115234e8e23" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "ARCH.6.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Externe Netzanschlüsse" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Verbindungen ins Weitverkehrsnetz" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "nach {{einem anerkannten Standard}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verschlüsseln" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Architektur für Externe Netzanschlüsse SOLLTE Verbindungen ins Weitverkehrsnetz nach {{ insert: param, arch.6.2-prm1 }} verschlüsseln." + }, + { + "id": "ARCH.6.2_gdn", + "name": "guidance", + "prose": "Ohne ein etabliertes Verschlüsselungsverfahren könnte sensible Kommunikation im Klartext übertragen werden, was Angreifern ein einfaches Mitlesen ermöglichen könnte – etwa durch Abhören in einem öffentlichen WLAN, durch kompromittierte Router eines Providers oder durch staatliche Massenüberwachung. Auch die unbemerkte Manipulation von Datenpaketen auf dem Weg zwischen Institution und Gegenstelle könnte die Integrität der übermittelten Inhalte gefährden und beispielsweise zu manipulierten Geschäftsdaten oder Schadcode-Einschleusungen führen. Der Einsatz von anerkannten Standards zur Verschlüsselung kann Vertraulichkeit und Integrität wahren, indem die Inhalte für Unbefugte unlesbar bleiben und Kommunikationspartner einander zuverlässig identifizieren können. So kann beispielsweise sichergestellt werden, dass eine entfernte Niederlassung tatsächlich mit der Zentrale verbunden ist und nicht mit einem Angreifer, der den Datenverkehr umleitet. Im Kontext externer Netzanschlüsse bezeichnet „Weitverkehrsnetz“ typischerweise öffentliche Netze wie das Internet oder auch gemietete WAN-Verbindungen über Telekommunikationsanbieter, die institutionsextern betrieben und potenziell unsicher sind. Anerkannte Standards sind z.B. TLS, IPsec oder WireGuard, die regelmäßig überprüft und weit verbreitet eingesetzt werden. Eine Institution kann diese Anforderung durch konkrete Maßnahmen umsetzen, z. B. indem sie Site-to-Site-VPNs zwischen Standorten einrichtet, Remote-Zugriffe von Mitarbeitenden ausschließlich über VPN-Gateways mit Zwei-Faktor-Authentisierung ermöglicht und auch Cloud-Dienste konsequent über gesicherte Verbindungen anbindet." + } + ] + } + ] + }, + { + "id": "ARCH.7", + "title": "Dedizierte Systeme", + "props": [ + { + "name": "label", + "value": "7" + }, + { + "name": "alt-identifier", + "value": "bf7db888-b581-45a9-bccd-32cc5bdb81b5" + } + ], + "controls": [ + { + "id": "ARCH.7.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Dedizierte Hostsysteme für Server", + "params": [ + { + "id": "arch.7.1-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "dbc89a40-82e3-48c7-9422-ce8f874ca1cf" + } + ], + "label": "virtuellen oder physischen" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "dbc89a40-82e3-48c7-9422-ce8f874ca1cf" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "ARCH.7.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Serverdienste ausschließlich auf für die Anwendung dedizierten {{virtuellen oder physischen}} Hostsystemen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "platzieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Architektur für Anwendungen SOLLTE Serverdienste ausschließlich auf für die Anwendung dedizierten {{ insert: param, arch.7.1-prm1 }} Hostsystemen platzieren." + }, + { + "id": "ARCH.7.1_gdn", + "name": "guidance", + "prose": "„Serverdienste“ bezeichnen hier die logisch oder physisch abgegrenzten IT-Services (engl. server services), die bestimmte Funktionalitäten einer Anwendung bereitstellen, etwa Datenbankinstanzen, Webserver-Komponenten oder API-Endpunkte. Ein „dediziertes Hostsystem“ (engl. dedicated host system) ist dabei ein physischer oder virtueller Server, der ausschließlich für eine einzelne Anwendung und deren zugehörige Serverdienste betrieben wird, ohne dass darauf weitere fachfremde oder von der Anwendung unabhängige Dienste ausgeführt werden. Mögliche Bereitstellungsformen können virtualisierte Maschinen, Container-fähige Hypervisor-Instanzen, Bare-Metal-Server oder Appliances sein. Diese Abgrenzung dient der klaren Trennung von Verantwortlichkeiten, Konfigurationen und Ressourcen und reduziert die Komplexität innerhalb der Systemlandschaft. Sie schafft eine saubere Zuordnung zwischen Anwendung und ihrer technischen Plattform, was die Nachvollziehbarkeit, Wartbarkeit und Sicherheit der jeweiligen Lösung deutlich erhöht. Ziel ist, dass nicht mehrere Server-Anwendungen auf einem Betriebssystem (oder sogar auf Endgeräten) laufen, um systemische Risiken zu minimieren, die aus Mehrfachnutzung oder unklarer Ressourcenteilung entstehen könnten. Sonst könnte es etwa durch unerwartete Wechselwirkungen zwischen Diensten, fehlerhafte Berechtigungszuweisungen, unbeabsichtigte Seitenkanäle, unkontrollierte Ressourcenkonflikte oder Abhängigkeiten bei Systemupdates zu Betriebsproblemen oder lateralen Bewegungen von Angreifenden kommen. Die Anforderung kann auch durch die Verwendung von virtuellen Maschinen oder Containern realisiert werden." + } + ] + }, + { + "id": "ARCH.7.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Dedizierte Hardware", + "props": [ + { + "name": "alt-identifier", + "value": "85fe83c0-ac96-43c8-b2a9-98059b801b73" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "parts": [ + { + "id": "ARCH.7.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Hostsysteme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "diese auf dedizierter Hardware" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "platzieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Architektur für Hostsysteme KANN diese auf dedizierter Hardware platzieren." + }, + { + "id": "ARCH.7.2_gdn", + "name": "guidance", + "prose": "Um die Verfügbarkeit ausreichender Ressourcen sicherzustellen und zyklische Abhängigkeiten zu vermeiden (z.B. einen VM-Host, dessen Domain Controller auf ihm selbst virtualisiert wird)." + } + ] + }, + { + "id": "ARCH.7.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Entwicklungs- und Testumgebungen", + "props": [ + { + "name": "alt-identifier", + "value": "15bdb341-c907-4daa-9e39-1dc3777ef9bc" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + } + ], + "links": [ + { + "href": "#TEST.3.1.4", + "rel": "related" + } + ], + "parts": [ + { + "id": "ARCH.7.3_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Virtualisierungslösungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Entwicklungs- und Testumgebungen nicht auf produktiven Hostsystemen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "platzieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Architektur für Virtualisierungslösungen SOLLTE Entwicklungs- und Testumgebungen nicht auf produktiven Hostsystemen platzieren." + }, + { + "id": "ARCH.7.3_gdn", + "name": "guidance", + "prose": "Entwicklungs- und Testumgebungen sind dabei Umgebungen, in denen Software noch nicht ausgereift ist, sondern aktiv entwickelt, angepasst oder erprobt wird. Der Sinn der Vorgabe liegt darin, dass instabile oder absichtlich manipulierbare Testsysteme nicht auf denselben Hostsystemen betrieben werden sollten, auf denen produktive Anwendungen laufen. Andernfalls könnte ein Fehler in experimenteller Software dazu führen, dass der Hypervisor oder das Host-Betriebssystem beeinträchtigt wird und produktive Daten oder Dienste in Mitleidenschaft gezogen werden. Ebenso könnte Schadcode, der in einer Testumgebung eingebracht wird, unerwartet in produktive Netze durchgreifen. Durch die Trennung kann sichergestellt werden, dass ein Ausfall oder eine Kompromittierung in Entwicklungsumgebungen nicht die Stabilität und Vertraulichkeit produktiver Systeme gefährdet. Zur praktischen Umsetzung kann eine Institution Entwicklungs- und Testumgebungen auf dedizierte Virtualisierungshosts auslagern, die physisch oder logisch getrennt von den produktiven Hosts betrieben werden. Zusätzlich kann eine Institution Richtlinien zur Lifecycle-Kennzeichnung von VMs einführen (z. B. „dev“, „test“, „prod“ im Namen oder Tagging), um die klare Trennung auch in größeren Umgebungen praktikabel zu machen." + } + ] + } + ] + }, + { + "id": "ARCH.8", + "title": "Ausfallsicherheit", + "props": [ + { + "name": "label", + "value": "8" + }, + { + "name": "alt-identifier", + "value": "f05e8f6f-a5f0-41b9-9a37-f859152401aa" + } + ], + "controls": [ + { + "id": "ARCH.8.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Redundanz im Kernnetz", + "props": [ + { + "name": "alt-identifier", + "value": "37f932b2-e132-4bf0-b8c3-eed73eadc680" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Hochverfügbarkeit, Failover" + } + ], + "parts": [ + { + "id": "ARCH.8.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Netze" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "für das Kernnetz redundante Netzkomponenten" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "installieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Architektur für Netze SOLLTE für das Kernnetz redundante Netzkomponenten installieren." + }, + { + "id": "ARCH.8.1_gdn", + "name": "guidance", + "prose": "Ziel hierbei ist es, dass beim Ausfall eines Systems oder einer Systemkomponente die Netzanbindung stets weiterhin funktionsfähig bleibt (Single-Point-of-Failure)." + } + ] + }, + { + "id": "ARCH.8.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Redundante TK-Anbindung", + "props": [ + { + "name": "alt-identifier", + "value": "11904e1d-22f5-4855-b2b4-5b82a423c2d7" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Hochverfügbarkeit, Failover, PSTN" + } + ], + "parts": [ + { + "id": "ARCH.8.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Externe Netzanschlüsse" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "redundante TK-Anbindungen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "für eingehende und ausgehende Verbindungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "installieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Architektur für Externe Netzanschlüsse KANN redundante TK-Anbindungen für eingehende und ausgehende Verbindungen installieren." + }, + { + "id": "ARCH.8.2_gdn", + "name": "guidance", + "prose": "Telekommunikationsanbindungen sind z.B. SIP-Trunks zum öffentlichen Telefonnetz (PSTN). Für weitere Details siehe „Kompendium für organisationsinterne Telekommunikationssysteme mit erhöhtem Schutzbedarf\"." + } + ] + }, + { + "id": "ARCH.8.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Redundante Server", + "props": [ + { + "name": "alt-identifier", + "value": "d1a0c0ac-dc2e-4d90-b67d-b76eec256915" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Hochverfügbarkeit, Failover" + } + ], + "parts": [ + { + "id": "ARCH.8.3_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "für die Funktionsfähigkeit der Anwendung erforderliche Hostsysteme redundant" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "installieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Architektur für Anwendungen KANN für die Funktionsfähigkeit der Anwendung erforderliche Hostsysteme redundant installieren." + }, + { + "id": "ARCH.8.3_gdn", + "name": "guidance", + "prose": "Redundanz ist gegeben, wenn sowohl das System als auch seine Netzanbindung redundant vorhanden sind. Das System selbst ist nur redundant, wenn auch seine Datenspeicher und Stromversorgung redundant ausgelegt sind. Automatische Umschaltung meint das Failover. Die Anforderung kann durch netzbasierte Load Balancer oder serverseitige automatisch Umschaltung umgesetzt werden (z.B. durch Hello-Pakete)." + } + ] + } + ] + }, + { + "id": "ARCH.9", + "title": "Kapazitätsmanagement", + "props": [ + { + "name": "label", + "value": "9" + }, + { + "name": "alt-identifier", + "value": "60e6c533-2880-4ce2-99b0-a544a6110f14" + } + ], + "controls": [ + { + "id": "ARCH.9.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Dimensionierung der Netzanbindung", + "props": [ + { + "name": "alt-identifier", + "value": "82cfd8da-b3d8-4b87-8770-f39aaf7de728" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "ARCH.9.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Netze" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine bedarfsgerechte Netzanbindung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "installieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Architektur für Netze SOLLTE eine bedarfsgerechte Netzanbindung installieren." + }, + { + "id": "ARCH.9.1_gdn", + "name": "guidance", + "prose": "Für die Verfügbarkeit und Leistungsfähigkeit kritischer Geschäfts‑ und Fachverfahren ist eine bedarfsgerechte Netzanbindung erforderlich. Durch das strukturierte Erfassen des Bedarfes kann eine Institution frühzeitig Engpässe erkennen, Ausfallrisiken minimieren und eine wirtschaftliche Auslegung ihrer Anschlüsse erreichen. Gleichzeitig lässt sich so eine belastbare Grundlage für Kapazitäts‑, Notfall‑ und Budget‑Planungen schaffen, ohne sich allein auf starre Hersteller‑ oder Provider‑Vorgaben zu verlassen. Relevant ist hierbei die gesamte Netzstrecke zwischen Servern und IT-Clients, zumindest bis zum Internet-Anschluss der Institution. Beispiele für den Anwendungsbereich können sehr unterschiedlich ausfallen: In einem Call‑Center kann sich der Bedarf aus der Anzahl zeitgleich aktiver Soft‑Phones ableiten, deren Codec‑Bandbreite sowie der gewünschten Gesprächsqualität (Latenz < Antwortzeit in ms). In einem Forschungslabor kann die Anbindung darauf basieren, dass täglich große Datensätze mit einer bestimmten maximalen Bandbreite in Gbit/s zu Kooperationspartnern repliziert werden. Auch eine E‑Learning‑Plattform kann berücksichtigen, dass zu Semesterbeginn Studierende gleichzeitig parallele Video‑Streams in HD abrufen, während administrative Dienste weiterhin innerhalb einer bestimmten Antwortzeit in ms reagieren sollen. Dabei ist es sinnvoll, die Netzanbindung an realistische Belastungsszenarien anzupassen." + } + ] + }, + { + "id": "ARCH.9.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Lastverteilung", + "params": [ + { + "id": "arch.9.2-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "50e54872-271e-41b4-b54a-50e9ebab82bd" + } + ], + "label": "netzbasierte oder serverbasierte" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "50e54872-271e-41b4-b54a-50e9ebab82bd" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Hochverfügbarkeit" + } + ], + "parts": [ + { + "id": "ARCH.9.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine {{netzbasierte oder serverbasierte}} automatische Lastverteilung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Architektur für Anwendungen KANN eine {{ insert: param, arch.9.2-prm1 }} automatische Lastverteilung aktivieren." + }, + { + "id": "ARCH.9.2_gdn", + "name": "guidance", + "prose": "Netzbasierte Lastverteilung bedeutet hier, dass ein dedizierter Netzwerkdienst – z. B. über Load-Balancer oder Layer-4/Layer-7-Komponenten – den eingehenden Datenverkehr dynamisch auf mehrere Server oder Dienste verteilt. Serverbasierte Lastverteilung bedeutet dagegen, dass die beteiligten Systeme selbst Mechanismen bereitstellen, um Anfragen untereinander weiterzugeben oder zu koordinieren, etwa durch eingebaute Proxy- oder Cluster-Funktionalitäten. Der Zweck einer solchen Verteilung liegt in der Absicherung der Verfügbarkeit: Ein plötzlicher Anstieg von Benutzeranfragen könnte ansonsten einzelne Systeme überlasten und zu Ausfällen führen; ebenso könnte ein Defekt in einem Knoten die Gesamtleistung stark beeinträchtigen. Mit geeigneter Lastverteilung kann die Stabilität der Anwendung verbessert und ein unterbrechungsfreier Betrieb unterstützt werden. Zur Umsetzung kann die Institution netzbasierte Verfahren einsetzen, etwa (1) hardware- oder softwaregestützte Load-Balancer, die eingehende Verbindungen nach konfigurierbaren Regeln verteilen, (2) DNS-basierte Verfahren, bei denen Abfragen gezielt auf unterschiedliche Zielsysteme geleitet werden, oder (3) virtuelle Appliances in virtualisierten oder Cloud-nahen Umgebungen. Serverbasierte Verfahren können etwa durch den Einsatz von Cluster-Software, eingebaute Reverse-Proxy-Funktionen in Webservern oder den Einsatz von Message-Queues realisiert werden. Dabei kann eine Institution darauf achten, dass Monitoring-Funktionen integriert sind, um Engpässe frühzeitig zu erkennen, und dass Konfigurationen für Failover-Szenarien getestet werden. Auch ein gestuftes Testen der Lastverteilung unter realitätsnahen Bedingungen kann helfen, die Wirksamkeit sicherzustellen." + } + ] + }, + { + "id": "ARCH.9.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Automatische Skalierung", + "params": [ + { + "id": "arch.9.3-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "bbfa749a-99a4-4ff3-9cce-5ceeb3162596" + } + ], + "label": "Schwellwerten" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "bbfa749a-99a4-4ff3-9cce-5ceeb3162596" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Hochverfügbarkeit, DDoS" + } + ], + "parts": [ + { + "id": "ARCH.9.3_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine automatische Skalierung der von der Anwendung verwendeten Computerinstanzen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "anhand von {{Schwellwerten}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Architektur für Anwendungen KANN eine automatische Skalierung der von der Anwendung verwendeten Computerinstanzen anhand von {{ insert: param, arch.9.3-prm1 }} aktivieren." + }, + { + "id": "ARCH.9.3_gdn", + "name": "guidance", + "prose": "Automatische Skalierung ist die Fähigkeit einer Anwendungsarchitektur, die Anzahl der von einer Anwendung genutzten Serverinstanzen dynamisch und automatisiert zu erhöhen oder zu verringern. Grundlage für diese Anpassungen sind definierte Schwellwerte, die beispielsweise auf Metriken wie CPU-Auslastung, Speichernutzung oder Antwortzeiten beruhen können. Damit wird festgelegt, bei welchen messbaren Bedingungen zusätzliche Server gestartet oder wieder abgeschaltet werden. Typische Werte für Schwellwerte können etwa „80 % durchschnittliche CPU-Auslastung über 5 Minuten“, „weniger als 500 MB freier Arbeitsspeicher“ oder „Antwortzeit über 2 Sekunden bei mehr als 100 gleichzeitigen Anfragen“ sein. Ohne Auto-Scaling könnte es vorkommen, dass Anwendungen unter hoher Last nicht mehr reagieren, Datenverlust entsteht oder ganze Dienste für Nutzer unerreichbar werden. Umgekehrt kann Auto-Scaling helfen, Kosten und Ressourcen zu optimieren, indem ungenutzte Server wieder abgeschaltet werden. Eine sinnvolle Umsetzung kann beispielsweise durch den Einsatz von cloudbasierten Skalierungsgruppen erfolgen, die auf klar definierte Metriken reagieren, oder durch Virtualisierungsplattformen, die zusätzliche Instanzen automatisch bereitstellen. Praktische Tipps sind etwa (1) die Definition realistischer und getesteter Schwellwerte auf Basis historischer Lastprofile, (2) die Einrichtung von Stresstests, um das Verhalten bei Erreichen der Schwellwerte zu validieren, und (3) die Einführung von Alarmierungen, die Administratoren über ungewöhnlich häufiges Hoch- oder Runterskalieren informieren können. So kann die Institution sicherstellen, dass Auto-Scaling verlässlich funktioniert und gleichzeitig eine ökonomische Ressourcennutzung gewährleistet bleibt." + } + ] + }, + { + "id": "ARCH.9.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Content Delivery Network", + "props": [ + { + "name": "alt-identifier", + "value": "4b5b81aa-fe5f-47f5-a081-136145f7ccc9" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Hochverfügbarkeit, DDoS" + } + ], + "parts": [ + { + "id": "ARCH.9.4_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "ein Content Delivery Network" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "installieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Architektur für Anwendungen KANN ein Content Delivery Network installieren." + }, + { + "id": "ARCH.9.4_gdn", + "name": "guidance", + "prose": "Ein Content Delivery Network (CDN) ist ein Netz geographisch verteilter Server, welches Inhalte wie Webseiten und große Mediendateien auch bei hoher Last skaliert zur Verfügung stellt. CDNs sind sinnvoll für weltweit hochverfügbare Server-Anwendungen, da so Lastspitzen und DDoS-Angriffe abgemildert werden. Ein CDN kann selbst umgesetzt oder durch einen entsprechenden Dienstleister übernommen werden." + } + ] + }, + { + "id": "ARCH.9.5", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Schutz gegen volumetrische DoS-Angriffe", + "props": [ + { + "name": "alt-identifier", + "value": "ac441ef0-08de-40c4-b600-8be20d8a55b1" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Hochverfügbarkeit, DDoS" + } + ], + "parts": [ + { + "id": "ARCH.9.5_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Netze" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Schutzmaßnahmen gegen volumetrische DoS-Angriffe" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Architektur für Netze KANN Schutzmaßnahmen gegen volumetrische DoS-Angriffe aktivieren." + }, + { + "id": "ARCH.9.5_gdn", + "name": "guidance", + "prose": "Volumetrische Angriffe können z.B. durch die Verwendung von Anycast-DNS, Upstream Rate Limiting, On-Premise- oder Cloud-Scrubbing, BGP FlowSpec-Filter, Auto-Null-Routing oder Remotely Triggered Blackholing abgewehrt werden." + } + ] + } + ] + } + ] + }, + { + "id": "BER", + "title": "Berechtigung", + "props": [ + { + "name": "label", + "value": "BER", + "remarks": "Die Praktik Berechtigung stellt sicher, dass ausschließlich autorisierte Personen und IT-Systeme Zugriff auf sensible Informationen und Ressourcen erhalten. Sie regelt die Verwaltung von Identitäten und Berechtigungen, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu gewährleisten. Dabei bildet die Praktik Berechtigung eine zentrale Schnittstelle zwischen den Praktiken Personal, Dienstleistersteuerung, Asset Management und Gebäudemanagement. Während IT-Systeme den Zugriff regeln, behandeln die Praktik Personal den Umgang mit Mitarbeitenden. Die Praktik Berechtigung vereint diese organisatorischen und technischen Aspekte, um Zugriffsrechte sicher und effizient zu verwalten." + }, + { + "name": "alt-identifier", + "value": "389cd5ad-fb81-4a95-8f7a-8f1fe1881709" + } + ], + "groups": [ + { + "id": "BER.1", + "title": "Grundlagen", + "props": [ + { + "name": "label", + "value": "1" + }, + { + "name": "alt-identifier", + "value": "94bfadab-43f6-48d7-ac5e-49b8fbcf2794" + } + ], + "controls": [ + { + "id": "BER.1.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Verfahren und Regelungen", + "props": [ + { + "name": "alt-identifier", + "value": "16d497ce-da97-4c76-89a6-33f53a71d381" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "BER.1.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Inventar Berechtigungen" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Verfahren und Regelungen zum Identitäts- und Berechtigungsmanagement" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Berechtigung MUSS Verfahren und Regelungen zum Identitäts- und Berechtigungsmanagement verankern." + }, + { + "id": "BER.1.1_gdn", + "name": "guidance", + "prose": "Ziel ist einen dokumentierten Prozess einzurichten, der die Vergabe, Verwaltung und Entfernung von Zugangs- und Zugriffsberechtigungen, sowie der damit verbundenen Identitäten regelt. Zu berücksichtigen sind insbesondere Neueinstellungen, Versetzungen und Entlassungen. Empfehlenswert ist es, die Vergabe und den Entzug von Berechtigungen so weit wie möglich zu automatisieren. Die bei der Festlegung des Verfahrens im Einzelnen zu berücksichtigenden Inhalte ergeben sich aus den Anforderungen dieser Praktik." + } + ], + "controls": [ + { + "id": "BER.1.1.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Dokumentation", + "props": [ + { + "name": "alt-identifier", + "value": "552ed210-7580-4b3e-91f3-72f46b75406c" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "BER.1.1.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Prozess Identitäts- und Berechtigungsmanagement" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Verfahren und Regelungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Berechtigung MUSS die Verfahren und Regelungen dokumentieren." + }, + { + "id": "BER.1.1.1_gdn", + "name": "guidance", + "prose": "Ohne eine Dokumentation könnte die Einhaltung der Verfahren und Regelungen von der Tagesform oder dem individuellen Wissen einzelner Mitarbeiter abhängen, was zu inkonsistenten Entscheidungen und Fehlern führen könnte; insbesondere beim Ausscheiden eines langjährigen Administrators könnte wertvolles prozessuales Wissen verloren gehen. Eine klare Dokumentation sichert die Verbindlichkeit und Wiederholbarkeit und dient als unverzichtbare Grundlage für die Einarbeitung neuer Kollegen, für die Durchführung von Audits und zur einheitlichen Anwendung der Regeln in der gesamten Institution. Die Dokumentation kann in einem eigenständigen Dokument als Richtlinie erfolgen, aber auch als Abschnitt in einem bereits bestehenden Dokument oder über die digital strukturiere Erfassung von Maßnahmen zur Umsetzung der Anforderungen, etwa über eine Software zum Management der Informationssicherheit. Sinnvoll ist es Ort und Struktur der Dokumentation an der jeweiligen Zielgruppe, d.h. den für das Management und die Umsetzung verantwortlichen Personen oder Rollen, auszurichten." + } + ] + }, + { + "id": "BER.1.1.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Zuweisung der Aufgaben", + "params": [ + { + "id": "ber.1.1.2-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "9d1f9325-ae2e-471f-8ce1-b05def44443c" + } + ], + "label": "zuständigen Personen oder Rollen" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "9d1f9325-ae2e-471f-8ce1-b05def44443c" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "BER.1.1.2_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Geschäftsverteilungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die mit den Verfahren und Regelungen verbundenen Aufgaben" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{zuständigen Personen oder Rollen}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "zuweisen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Berechtigung MUSS die mit den Verfahren und Regelungen verbundenen Aufgaben {{ insert: param, ber.1.1.2-prm1 }} zuweisen." + }, + { + "id": "BER.1.1.2_gdn", + "name": "guidance", + "prose": "Die Zuweisung von Aufgaben bezeichnet die eindeutige und verbindliche Übertragung von konkreten Tätigkeiten und Verantwortlichkeiten des Änderungsprozesses, wie etwa die Risikobewertung, die technische Umsetzung oder die finale Freigabe, an definierte Stellen in der Institution. Der Sinn dieser Vorschrift ist es, die Verantwortlichkeit (\"Accountability\") für jeden einzelnen Schritt im Prozess klarzustellen. Ohne eine solche Zuweisung könnten kritische Prüfungen unterbleiben, weil sich niemand explizit zuständig fühlt, was wiederum die Wahrscheinlichkeit fehlgeschlagener Änderungen erhöht. Eine klare Regelung kann sicherstellen, dass keine Aufgaben übersehen werden und jede Tätigkeit von einer dafür qualifizierten und befugten Stelle ausgeführt wird, was die Prozesssicherheit signifikant erhöht. Eine bewährte Methode zur Umsetzung ist die Erstellung einer RACI-Matrix (Responsible, Accountable, Consulted, Informed), die tabellarisch für jeden Prozessschritt darstellt, wer für die Durchführung verantwortlich ist, wer die Gesamtverantwortung trägt, wer zu konsultieren und wer zu informieren ist. Diese Zuständigkeiten können auch direkt in einem Workflow- oder Ticketsystem abgebildet werden, sodass Aufgaben, wie beispielsweise Genehmigungsschritte, automatisch an die richtige Gruppe oder Person weitergeleitet werden. Sinnvoll ist es, die Zuweisung anhand von Rollen (z. B. \"Anwendungsverantwortlicher\", \"Netzwerkadministrator\", \"Change Manager\") vorzunehmen, statt an konkrete Personen. Dieser Ansatz stellt sicher, dass die Prozesse auch bei Personalwechseln stabil weiterlaufen, da die Zuständigkeit an die Funktion und nicht an das Individuum gebunden ist." + } + ] + }, + { + "id": "BER.1.1.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Bekanntgabe", + "props": [ + { + "name": "alt-identifier", + "value": "1eb287af-27f5-4cec-b181-1ef3a8135224" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "BER.1.1.3_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Prozess Identitäts- und Berechtigungsmanagement" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die zuständigen Personen oder Rollen über die Verfahren und Regelungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "informieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Berechtigung MUSS die zuständigen Personen oder Rollen über die Verfahren und Regelungen informieren." + }, + { + "id": "BER.1.1.3_gdn", + "name": "guidance", + "prose": "Wenn die Zuständigen die etablierten Verfahren nicht kennen, besteht die Gefahr, dass diese – sei es aus Unwissenheit oder Bequemlichkeit – umgangen werden, was die Schutzwirkung des gesamten Managementsystems untergräbt. So könnte ein neuer Systemadministrator eine weitreichende Konfigurationsänderung vornehmen, ohne den vorgeschriebenen Genehmigungsprozess zu durchlaufen, was zu einem unbemerkten Sicherheitsrisiko führen könnte. Eine gezielte Information kann hingegen die Akzeptanz der Regelungen fördern und sicherstellen, dass alle Beteiligten ihre Rolle im Prozess verstehen und die Abläufe korrekt anwenden. Zur Umsetzung ist es sinnvoll die Dokumentation im Rahmen eines Onboarding-Prozesses bekanntzugeben und bei allen Änderungen eine automtatische Benachrichtigung aller zuständigen Personen oder Rollen anzustoßen." + } + ] + } + ] + }, + { + "id": "BER.1.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Regelmäßige Überprüfung", + "params": [ + { + "id": "ber.1.2-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "7ff251bd-78a1-40af-ba57-56f970c0664b" + } + ], + "label": "regelmäßig" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "7ff251bd-78a1-40af-ba57-56f970c0664b" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "BER.1.2_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Prüfplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Verfahren und Regelungen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{regelmäßig}} und anlassbezogen auf Aktualität" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überprüfen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Berechtigung MUSS die Verfahren und Regelungen {{ insert: param, ber.1.2-prm1 }} und anlassbezogen auf Aktualität überprüfen." + }, + { + "id": "BER.1.2_gdn", + "name": "guidance", + "prose": "Eine geplante Überprüfung der etablierten Verfahren und Regelungen dient dazu festzustellen, ob diese noch wirksam, effizient und an die aktuellen Gegebenheiten angepasst sind. Eine anlassbezogene Überprüfung wird durch spezifische Ereignisse ausgelöst, wie etwa einen schwerwiegenden Sicherheitsvorfall, eine strategische Neuausrichtung der IT oder neue gesetzliche Anforderungen. Der Zweck dieser Anforderung ist es, die kontinuierliche Verbesserung und Anpassungsfähigkeit des Prozesses sicherzustellen, da veraltete Regelungen neuen technologischen Entwicklungen oder Bedrohungen nicht mehr gerecht werden könnten; ein vor Jahren für monolithische Anwendungen konzipierter Prozess ist beispielsweise für agile Entwicklungsmethoden oder Microservice-Architekturen ungeeignet. Die regelmäßige Überprüfung kann die Effektivität des Sicherheitsmanagements langfristig aufrechterhalten und die Resilienz der Institution stärken." + } + ] + }, + { + "id": "BER.1.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Inventar Authentifizierungs- und Autorisierungssysteme", + "props": [ + { + "name": "alt-identifier", + "value": "d5b8b9a6-59f5-4ad4-9771-4f090af22fd1" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "links": [ + { + "href": "#ASST.2.2", + "rel": "related" + } + ], + "parts": [ + { + "id": "BER.1.3_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Inventar Berechtigungssysteme" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "ein Inventar der Systeme zur Authentifizierung und Autorisierung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Berechtigung SOLLTE ein Inventar der Systeme zur Authentifizierung und Autorisierung dokumentieren." + }, + { + "id": "BER.1.3_gdn", + "name": "guidance", + "prose": "Ein dokumentiertes Inventar der Authentifizierungs- und Autorisierungssysteme kann eine zentrale Grundlage sein, um den Überblick über sicherheitsrelevante Zugangskontrollen zu behalten, sowohl lokal als auch in der Cloud. Solche Systeme sind dafür zuständig zu prüfen, wer Zugriff auf IT-Ressourcen erhält (Authentifizierung) und was dieser Zugriff umfassen darf (Autorisierung). Wird kein vollständiges und gepflegtes Inventar geführt, könnten Schwachstellen unentdeckt bleiben, z.B. veraltete Login-Dienste, falsch konfigurierte Rollen oder Schatten-Identitäten in cloudbasierten Identitätsplattformen. In einem konkreten Vorfall könnte etwa ein ehemals genutzter Verzeichnisdienst (z.B. ein ausgemusterter LDAP-Server) unbemerkt weiterhin aktiv sein und von Angreifern für unautorisierte Zugriffe verwendet werden. Ebenso könnte ein unerkannter Konfigurationsfehler in einem Authentifizierungs-Gateway dazu führen, dass privilegierte Nutzerrollen ohne Zwei-Faktor-Absicherung zugänglich sind. Zu Authentifizierungs- und Autorisierungssystemen zählen beispielsweise Verzeichnisdienste (Directory Services), Identity Provider (IdPs), Single Sign-On-Plattformen (SSO), lokale Passwortdatenbanken sowie API-Gateways mit Zugriffskontrolllogik. Eine Möglichkeit zur Umsetzung kann darin bestehen, auf eine Liste aller Systeme des Informationsverbundes zurückzugreifen und Informationen zum Berechtigungsmanagement zu ergänzen – inklusive ihrer Funktion, angebundenen Anwendungen, unterstützten Protokollen (wie SAML, OAuth2, OpenID Connect) sowie Zuständigkeiten. Die Pflege dieses Inventars kann über ein zentrales Configuration Management Database (CMDB) erfolgen oder alternativ über eine revisionsfähige Tabellenstruktur mit Zugriffskontrollen. Hilfreich kann es sein, den Lifecycle einzelner Systeme zu erfassen, etwa ob sich diese in Einführung, Nutzung oder Stilllegung befinden. Ein Abgleich mit dem Rollen- und Rechtemanagement der Institution kann die Konsistenz zusätzlich verbessern." + } + ] + }, + { + "id": "BER.1.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Inventar der Berechtigungen", + "props": [ + { + "name": "alt-identifier", + "value": "c18f2b2d-fb62-42d5-bf73-ec3966ed0fb4" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Zero Trust" + } + ], + "parts": [ + { + "id": "BER.1.4_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Inventar Berechtigungen" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "ein Inventar der Berechtigungen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "mit Personen, Identitäten, Zugangskonten, Berechtigungen und deren jeweiliger Zuordnung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Berechtigung SOLLTE ein Inventar der Berechtigungen mit Personen, Identitäten, Zugangskonten, Berechtigungen und deren jeweiliger Zuordnung dokumentieren." + }, + { + "id": "BER.1.4_gdn", + "name": "guidance", + "prose": "Ein Inventar der Berechtigungen kann helfen, Zugriffsrechte innerhalb einer Institution transparent zu machen und unnötige oder riskante Berechtigungen zu erkennen. Es dokumentiert, welche Identitäten – also digitale Repräsentationen von Personen oder Systemen – über welche Konten und Berechtigungen verfügen. So können potenzielle Risiken wie verwaiste Konten oder unautorisierte Privilegien sichtbar werden. Beispielsweise könnte ein ehemaliger Mitarbeitender noch aktive Zugänge besitzen, oder ein Dienstkonto könnte über weitreichende Rechte verfügen, obwohl der Einsatz längst beendet ist – beides kann ein Einfallstor für Missbrauch sein. Relevant sind neben den Berechtigungen von Personen auch Dienstekonten, Cloud-Zugänge und physische Zugangsberechtigungen wie Schlüssel-Schließpläne. Berechtigungen bezeichnen konkrete Zugriffsrechte auf Ressourcen (z. B. Lesen oder Administrieren). Eine Institution kann dies etwa durch einen Verzeichnisdienst, ein zentrales Berechtigungsmanagement oder gepflegte Berechtigungsverzeichnisse abbilden. Die Benennung von Zuständigen je Fachbereich, regelmäßige Überprüfungen und der Einsatz von klaren Rollenkennzeichnungen (z. B. „temporär“, „Admin“) können helfen, das Inventar aktuell und verständlich zu halten. Auch eine strukturierte Offboarding-Checkliste kann sicherstellen, dass veraltete Zugänge rechtzeitig entfernt werden." + } + ] + } + ] + }, + { + "id": "BER.2", + "title": "Identitätsmanagement", + "props": [ + { + "name": "label", + "value": "2" + }, + { + "name": "alt-identifier", + "value": "9a76360d-4c4c-4dd5-b783-ca4dc610de34" + } + ], + "controls": [ + { + "id": "BER.2.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Person-Identität", + "props": [ + { + "name": "alt-identifier", + "value": "f8cb577c-7999-4837-b983-f96e4f33b1b2" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "BER.2.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Inventar Berechtigungen" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine eindeutige Identität zu genau einer natürlichen Person oder einem IT-System" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "zuweisen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Berechtigung SOLLTE eine eindeutige Identität zu genau einer natürlichen Person oder einem IT-System zuweisen." + }, + { + "id": "BER.2.1_gdn", + "name": "guidance", + "prose": "Hier wird eine Identität (\"muellera\") genau einer natürlichen Person (\"Andrea Müller\") zugewiesen, oder einem IT-System (\"pc02348\" zu \"pc02348.our.domain\")." + } + ] + }, + { + "id": "BER.2.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Einschränkung", + "props": [ + { + "name": "alt-identifier", + "value": "e83e80c1-6725-4812-82be-f86dce11d07e" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "BER.2.2_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Prozess Identitäts- und Berechtigungsmanagement" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Einrichtung, Änderung oder Löschung einer Identität" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "einschränken" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Berechtigung SOLLTE die Einrichtung, Änderung oder Löschung einer Identität einschränken." + }, + { + "id": "BER.2.2_gdn", + "name": "guidance", + "prose": "Das Identitäts- und Berechtigungsmanagement ist entscheidend für die sichere Authentifizierung vor Zugang zu Informationen. Identitäten sind die Grundlage hierfür. Je nach Organisationsstruktur benötigen z.B. das Personalmanagement oder Administrierende schreibenden Zugang zu Identitäten." + } + ] + }, + { + "id": "BER.2.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Stammdatenprüfung", + "params": [ + { + "id": "ber.2.3-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "ee2514d4-b2ce-4e97-85e7-a82cdb937e82" + } + ], + "label": "regelmäßig" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "ee2514d4-b2ce-4e97-85e7-a82cdb937e82" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "BER.2.3_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Inventar Berechtigungen" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Stammdaten einer Identität anhand allgemeiner Stammdaten" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{regelmäßig}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überprüfen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Berechtigung SOLLTE Stammdaten einer Identität anhand allgemeiner Stammdaten {{ insert: param, ber.2.3-prm1 }} überprüfen." + }, + { + "id": "BER.2.3_gdn", + "name": "guidance", + "prose": "Allgemeine Stammdaten können z.B. sein: Unterlagen der Personalabteilung, Ergebnisse von Netzwerkscans für IT-Systeme, CMDB. Der Abgleich kann auch automatisiert vorgenommen werden." + } + ] + }, + { + "id": "BER.2.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Protokollierung von Stammdatenänderungen", + "props": [ + { + "name": "alt-identifier", + "value": "7bba1e58-63d0-4588-81dc-f87c512e7e82" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "BER.2.4_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Audit Log" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Änderungen von Identitäts-Stammdaten" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "protokollieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Berechtigung SOLLTE Änderungen von Identitäts-Stammdaten protokollieren." + }, + { + "id": "BER.2.4_gdn", + "name": "guidance", + "prose": "Zu einem Ereignisprotokoll gehört der Zeitpunkt, das Zugangskonto, sowie welche Änderungen vorgenommen wurden." + } + ] + }, + { + "id": "BER.2.5", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Deaktivierung bei Weggang", + "props": [ + { + "name": "alt-identifier", + "value": "fbc81602-53a3-44a0-a6bf-c83b3ec60964" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "BER.2.5_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Inventar Berechtigungen" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die zugeordnete Identität" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "bei Weggang von Nutzenden" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "deaktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Berechtigung SOLLTE die zugeordnete Identität bei Weggang von Nutzenden deaktivieren." + }, + { + "id": "BER.2.5_gdn", + "name": "guidance", + "prose": "Weggang meint hier die nicht nur kurzfristige Beendigung der Aktivitäten der Identität, z.B. bei Kündigung, Elternzeit, Sabbatical. Die Anforderung ist auch umgesetzt, wenn die Identität gelöscht wird. Empfehlenswert ist die Löschung jedoch erst nach Ablauf längerer Löschfristen, um die Nachvollziehbarkeit von Aktionen im Audit Log zu erhalten." + } + ] + }, + { + "id": "BER.2.6", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Löschen nach Fristablauf", + "props": [ + { + "name": "alt-identifier", + "value": "f7541c92-ff46-4d17-9232-2998a41c6613" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + } + ], + "parts": [ + { + "id": "BER.2.6_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "nicht mehr benötigte Identitäten" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "nach Ablauf der Löschfristen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "löschen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Berechtigung SOLLTE nicht mehr benötigte Identitäten nach Ablauf der Löschfristen löschen." + }, + { + "id": "BER.2.6_gdn", + "name": "guidance", + "prose": "Gesetzliche Aufbewahrungs- und Löschfristen ergeben sich aus dem Compliance-Management, z.B. aus Regelungen der DSGVO oder dem Handels- und Steuerrecht. Sicheres Löschen bedeutet, Daten so zu entfernen, dass sie mit vertretbarem Aufwand (auch forensisch) nicht mehr rekonstruierbar sind. Je nach Medium geschieht das z. B. durch verifizierbares Überschreiben, kryptografisches Löschen (Schlüsselvernichtung) oder physische Zerstörung (inklusive zugehöriger Metadaten, Caches und Datensicherungen)." + } + ] + } + ] + }, + { + "id": "BER.3", + "title": "Zugangskonten", + "props": [ + { + "name": "label", + "value": "3" + }, + { + "name": "alt-identifier", + "value": "2d8f7753-5bd5-42d3-8e26-1ef4582da9ea" + } + ], + "controls": [ + { + "id": "BER.3.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Zentrales Management", + "props": [ + { + "name": "alt-identifier", + "value": "0aec1964-0172-4194-836b-90fa6d8002ba" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "BER.3.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "ein zentrales Managementsystem für Zugangskonten" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "installieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Berechtigung SOLLTE ein zentrales Managementsystem für Zugangskonten installieren." + }, + { + "id": "BER.3.1_gdn", + "name": "guidance", + "prose": "Wenn Zugangskonten lokal auf jedem Gerät einzeln verwaltet werden, könnte es zu inkonsistenten und veralteten Zugängen und Berechtigungen kommen. Ein zentrales System steuert Benutzeridentitäten und Zugriffsrechte übergreifend – oft als Identity and Access Management (IAM) oder bei sensiblen Konten als Privileged Access Management (PAM) bezeichnet. Es kann die Nachvollziehbarkeit erhöhen, Audits erleichtern und gerade in komplexen IT-Umgebungen Transparenz schaffen. Umsetzbar ist dies etwa über Verzeichnisdienste wie LDAP oder Active Directory, ergänzt durch rollenbasierte Zugriffsmodelle (RBAC). Praktische Maßnahmen zum Management können Self-Service-Portale, automatische Genehmigungsworkflows und regelmäßige Rechteüberprüfungen umfassen. Für den Einstieg kann eine Institution kritische Systeme priorisieren und Prozesse schrittweise zentralisieren." + } + ] + }, + { + "id": "BER.3.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Einschränkung des Managements", + "props": [ + { + "name": "alt-identifier", + "value": "6b065020-06dc-4be4-86f7-12371499a6c0" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Change Management" + } + ], + "parts": [ + { + "id": "BER.3.2_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "das Management von Zugangskonten" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "auf Administrierende" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "einschränken" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Berechtigung SOLLTE das Management von Zugangskonten auf Administrierende einschränken." + }, + { + "id": "BER.3.2_gdn", + "name": "guidance", + "prose": "Management meint hier Aktionen wie z.B. das Erstellen oder Ändern von Metadaten oder Berechtigungen oder die Löschung des Zugangskontos." + } + ] + }, + { + "id": "BER.3.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Protokollierung von Änderungen", + "props": [ + { + "name": "alt-identifier", + "value": "744a1a50-616b-4092-91f6-b2b4b1b0aa01" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "BER.3.3_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Audit Log" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Aktionen an Zugangskonten" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "revisionsfähig" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "protokollieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Berechtigung SOLLTE Aktionen an Zugangskonten revisionsfähig protokollieren." + }, + { + "id": "BER.3.3_gdn", + "name": "guidance", + "prose": "Werden Aktionen an Zugangskonten wie die Erstellung, Veränderung von Metadaten oder Berechtigungen, Aktivierung, Deaktivierung oder Löschung von Zugangskonten automatisch protokolliert, so können Sicherheitsverstöße erkannt und nachgewiesen werden. Siehe auch Praktik Detektion." + } + ] + }, + { + "id": "BER.3.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Identität-Zugangskonto", + "props": [ + { + "name": "alt-identifier", + "value": "3aee31a9-78e2-453e-8bce-d4212130dbf7" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Zero Trust" + } + ], + "parts": [ + { + "id": "BER.3.4_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "ein Zugangskonto zu genau einer Identität" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "zuweisen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Berechtigung SOLLTE ein Zugangskonto zu genau einer Identität zuweisen." + }, + { + "id": "BER.3.4_gdn", + "name": "guidance", + "prose": "Wenn ein Zugangskonto genau einer Identität zugewiesen ist erleichtert dies die Vergabe von Berechtigungen nach dem Need-to-know-Prinzip. Außerdem kann so bei einem Vorfall nachvollzogen werden, welche Person welche Befehle ausgeführt hat, z.B. mittels des Audit Logs. Anders herum können einer Identität auch mehrere Zugangskonten zugewiesen sein, z.B. ein normalen Nutzungskonto und ein Zugangskonto für die Systemadministration." + } + ] + }, + { + "id": "BER.3.5", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Privilegierte Zugangskonten", + "props": [ + { + "name": "alt-identifier", + "value": "4791c533-f811-48cf-9957-6e1d438028f5" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Zero Trust, Privilege Escalation, Insider Threat, Privilegierte Rechte" + } + ], + "links": [ + { + "href": "#SENS.10.5", + "rel": "related" + } + ], + "parts": [ + { + "id": "BER.3.5_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Administrierende" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Inventar Berechtigungen" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "separate Zugangskonten für administrative Tätigkeiten (Administrationskonten)" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Berechtigung für Administrierende SOLLTE separate Zugangskonten für administrative Tätigkeiten (Administrationskonten) verankern." + }, + { + "id": "BER.3.5_gdn", + "name": "guidance", + "prose": "Zugangskonten mit privilegierten Rechten (Superuser wie z.B. root) könnten durch menschliche Fehler oder Schadcode weitreichende Probleme verursachen. Bewährt hat es sich daher für administrative Tätigkeiten wie die Installation von Anwendungen dedizierte Zugangskonten einzurichten und diese auch nur für derartige Tätigkeiten zu verwenden. Für normale Geschäftsaktivitäten wie E-Mail oder Webbrowser nutzen auch Administrierende dann ausschließlich Zugangskonten ohne administrative Berechtigungen." + } + ] + }, + { + "id": "BER.3.6", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Single-Sign-On", + "props": [ + { + "name": "alt-identifier", + "value": "494391e7-774c-4cc4-b9ed-dc8ab652e83b" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "BER.3.6_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Anmeldung über einen zentralen Identitätsprovider" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Berechtigung für Anwendungen SOLLTE die Anmeldung über einen zentralen Identitätsprovider aktivieren." + }, + { + "id": "BER.3.6_gdn", + "name": "guidance", + "prose": "Bei Single Sign-on authentifizieren sich Nutzende bei einem zentralen Identity Provider, der auch die Berechtigungen zur Nutzung der Anwendung prüft. Bei erfolgreicher Authentifizierung und passenden Berechtigungen wird für die Sitzung ein Token ausgestellt, das den Zugang zur Anwendung ermöglicht. Da Nutzende durch Single-Sign-On weniger Anmeldeinformationen benötigen, wird es leichter, sich komplexe Passwörter zu merken oder zentrale gepflegte Schutzmaßnahmen, wie eine Mehr-Faktor-Authentifizierung oder Überwachung von Anmeldeinformationen, auch auf die Anwendung anzuwenden. Zudem erschwert Single-Sign-On auch Phishing-Angriffe, da Anmeldeinformationen nur noch an zentraler Stelle und nicht mehr verstreut in einzelne Anwendungen oder Webseiten abgefragt werden. Andererseits ist bei der Kompromittierung des Single-Sign-On-Logins auch die Authentifizierung an der Anwendung kompromittiert und die Verfügbarkeit der Anwendung hängt auch von der Verfügbarkeit des zentralen Logins ab. Dies kann unter Windows durch Nutzung eines Windows Server Domain Controllers und unter Linux durch Samba mit aktiviertem Heimdal Kerberos Key Distribution Center (KDC) umgesetzt werden." + } + ] + }, + { + "id": "BER.3.7", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Hinweise bei Anmeldefehlern", + "props": [ + { + "name": "alt-identifier", + "value": "dd5fcc0c-d602-4d15-839c-5adb4fef150e" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Credential Stuffing, Brute-Force-Attacke" + } + ], + "parts": [ + { + "id": "BER.3.7_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Hinweise darauf, ob ein Zugangskonto existiert" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "bei erfolglosen Anmeldeversuchen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "deaktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Berechtigung für Anwendungen SOLLTE Hinweise darauf, ob ein Zugangskonto existiert bei erfolglosen Anmeldeversuchen deaktivieren." + }, + { + "id": "BER.3.7_gdn", + "name": "guidance", + "prose": "Den Hinweis, dass bei erfolglosen Anmeldeversuchen das Passwort oder die Kennung falsch ist, könnte ein Angreifer als sogenannte User Enumeration (Benutzerkonten-Aufzählung) oder Account Discovery (Konto-Entdeckung) Schwachstelle ausnutzen. Dadurch wird das Risiko einer Brute-Force-Attacke oder eines Credential Stuffings erhöht, bei der ein Angreifer eine Liste potenzieller Benutzernamen durchprobieren könnte, um gültige Konten zu identifizieren. Der Schutz kann gewährleisten, dass ein Angreifer nicht automatisch weiß, welche Konten er als Nächstes mit Passwörtern attackieren muss oder Rückschlüsse auf registrierte Zugangskonten erhält. Zur Umsetzung kann die Institution alle Rückmeldungen bei fehlgeschlagenen Anmeldeversuchen so vereinheitlichen, dass sie keinen Aufschluss über den Grund des Fehlschlags geben, beispielsweise durch die generische Nachricht „Der eingegebene Benutzername oder das Passwort ist ungültig.“." + } + ] + }, + { + "id": "BER.3.8", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Ereignisgesteuerte Deaktivierung", + "props": [ + { + "name": "alt-identifier", + "value": "610f7bda-9051-44a0-bc6e-c8cbbac35af0" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "BER.3.8_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Ergebnisprotokoll" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Zugangskonten" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "ereignisgesteuert" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "deaktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Berechtigung SOLLTE Zugangskonten ereignisgesteuert deaktivieren." + }, + { + "id": "BER.3.8_gdn", + "name": "guidance", + "prose": "Ungenutzte Zugangskonten stellen ein unnötiges Risiko für unberechtigte Zugriffe dar. Werden sie z.B. bei längerer Inaktivität, bei Personalweggang oder bei Verletzung von Richtlinien unverzüglich deaktiviert, so vermindert sich das Risiko eines Missbrauchs erheblich." + } + ] + }, + { + "id": "BER.3.9", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Anmeldeversuchsgrenze am System", + "params": [ + { + "id": "ber.3.9-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "c37f30d1-8fd7-4497-b3f1-07d8f54b717c" + } + ], + "label": "einem maximalen Schwellwert an" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "c37f30d1-8fd7-4497-b3f1-07d8f54b717c" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Credential Stuffing, Brute-Force-Attacke" + } + ], + "parts": [ + { + "id": "BER.3.9_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "weitere Anmeldeversuche nach Erreichen von {{einem maximalen Schwellwert an}} fehlgeschlagenen Versuchen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "vorübergehend" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "blockieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Berechtigung für IT-Systeme SOLLTE weitere Anmeldeversuche nach Erreichen von {{ insert: param, ber.3.9-prm1 }} fehlgeschlagenen Versuchen vorübergehend blockieren." + }, + { + "id": "BER.3.9_gdn", + "name": "guidance", + "prose": "Betrifft sowohl die lokale Anmeldung über eine Benutzeroberfläche als auch den Zugriff über Fernwartungsprotokolle oder -anwendungen wie RDP, SNMP, wenn diese vorhanden sind. Die Umsetzung erfolgt im einfachsten Fall durch ein Login, bzw. eine Bildschirmsperre für das IT-System. Biometrische Daten wie Fingerabdrücke können gefälscht werden und sind nicht so leicht zu ändern wie Passwörter. Setzen Sie Biometrie daher nicht als einzigen Authentifizierungsfaktor ein, sondern wenn, dann nur zur Ergänzung (Mehr-Faktor-Authentifizierung). Die Anforderung ist entbehrlich, wenn das System keinen Zugriff auf schützenswerte Daten erlaubt, z.B. bei Nutzung als Kiosk." + } + ] + }, + { + "id": "BER.3.10", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Anmeldeversuchsgrenze an der Anwendung", + "props": [ + { + "name": "alt-identifier", + "value": "265ee5bc-059a-4bde-b480-9bc1611171bf" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Credential Stuffing, Brute-Force-Attacke" + } + ], + "parts": [ + { + "id": "BER.3.10_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "weitere Anmeldeversuche nach Erreichen von einem maximalen Schwellwert an fehlgeschlagenen Versuchen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "vorübergehend" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "blockieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Berechtigung für Anwendungen SOLLTE weitere Anmeldeversuche nach Erreichen von einem maximalen Schwellwert an fehlgeschlagenen Versuchen vorübergehend blockieren." + }, + { + "id": "BER.3.10_gdn", + "name": "guidance", + "prose": "Häufen sich Anmeldeversuche, so könnte ein Angreifer Zugangsdaten durchprobieren. Durch eine Anmeldeversuchsgrenze wird der Zugriff durch das massenhafte Durchprobieren von Zugangsdaten (Credential Stuffing) verhindert. Dies kann z.B. durch die Begrenzung der Anmeldeversuche pro Client oder pro IP erfolgen. Dies betrifft sowohl die Anmeldung an der Benutzeroberfläche als auch über das Netz. Relevant sind hierbei sowohl primäre als auch ggf. vorhandene sekundäre Zugänge (z.B. Sicherheitsfragen, Passwort zurücksetzen). Für die Wahl des Schwellwertes ist die Anzahl der betroffenen Zugangskonten, die Passwortlänge und der Schutzbedarf der Anwendung von Bedeutung. Je nach Risikoprofil der Anwendung sind verschiedene Lösungen denkbar, z.B. die Verwendung von CAPTCHAS bei Erreichen der Anmeldeversuchsgrenze oder indem der Zeitraum einer Blockierung nach jedem fehlgeschlagenen Anmeldeversuch erhöht wird. Erfordert die Anwendung keine Zugangsdaten, so ist auch diese Anforderung entbehrlich." + } + ] + }, + { + "id": "BER.3.11", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Systemsperre bei Inaktivität", + "params": [ + { + "id": "ber.3.11-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "de11e8f3-d1fa-4b11-a6b0-e0d327b42849" + } + ], + "label": "einer Frist" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "de11e8f3-d1fa-4b11-a6b0-e0d327b42849" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Automatic Session Locking, Zero Trust" + } + ], + "parts": [ + { + "id": "BER.3.11_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine Sperre bei Inaktivität" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "nach {{einer Frist}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Berechtigung für IT-Systeme SOLLTE eine Sperre bei Inaktivität nach {{ insert: param, ber.3.11-prm1 }} aktivieren." + }, + { + "id": "BER.3.11_gdn", + "name": "guidance", + "prose": "Kann durch eine Bildschirmsperre oder Abmeldung (Automatic Session Locking) umgesetzt werden. Eine längere Inaktivität kann z.B. 5-15 Minuten lang sein. Verwendet das System keine eigene Authentifizierung, so ist auch diese Anforderung entbehrlich." + } + ] + }, + { + "id": "BER.3.12", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Sperre der Anwendung bei Inaktivität", + "params": [ + { + "id": "ber.3.12-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "5c8bb88d-6692-4904-908a-ed3f7a81b34e" + } + ], + "label": "einer Frist" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "5c8bb88d-6692-4904-908a-ed3f7a81b34e" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Automatic Session Locking, Zero Trust" + } + ], + "parts": [ + { + "id": "BER.3.12_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine Sperre bei Inaktivität" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "nach {{einer Frist}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Berechtigung für Anwendungen SOLLTE eine Sperre bei Inaktivität nach {{ insert: param, ber.3.12-prm1 }} aktivieren." + }, + { + "id": "BER.3.12_gdn", + "name": "guidance", + "prose": "Kann je nach Anmeldeweg durch eine Abmeldung (Automatic Session Locking) direkt an der Anwendung, über Single-Sign-On oder (bei Anmeldung über das Netz) die Trennung der Netzverbindung umgesetzt werden. Eine längere Inaktivität kann z.B. 5-15 Minuten lang sein. Verfügt die Anwendung über keine eigene Authentifizierungsmethode, so ist die Anforderung entbehrlich." + } + ] + }, + { + "id": "BER.3.13", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Zugang löschen nach Fristablauf", + "props": [ + { + "name": "alt-identifier", + "value": "04d6a7fe-9e5a-424b-b647-3e95ce943ce9" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "1" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Credential Stuffing, Brute-Force-Attacke" + } + ], + "links": [ + { + "href": "#ASST.7.2", + "rel": "related" + } + ], + "parts": [ + { + "id": "BER.3.13_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "nicht mehr benötigte Zugangskonten" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "nach Ablauf der Löschfristen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "löschen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Berechtigung SOLLTE nicht mehr benötigte Zugangskonten nach Ablauf der Löschfristen löschen." + }, + { + "id": "BER.3.13_gdn", + "name": "guidance", + "prose": "Die Löschfristen ergeben sich aus gesetzlichen Aufbewahrungs- und Löschfristen, die dem Compliance-Management entnommen werden können. Sicheres Löschen bedeutet, Daten so zu entfernen, dass sie mit vertretbarem Aufwand (auch forensisch) nicht mehr rekonstruierbar sind. Je nach Medium geschieht das z. B. durch verifizierbares Überschreiben, kryptografisches Löschen (Schlüsselvernichtung) oder physische Zerstörung (inklusive zugehöriger Metadaten, Caches und Datensicherungen)." + } + ] + }, + { + "id": "BER.3.14", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Zugang nur durch zwei Personen", + "props": [ + { + "name": "alt-identifier", + "value": "cc01c015-42f4-4e42-a986-ad7c954733db" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "parts": [ + { + "id": "BER.3.14_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Aufteilung von Authentisierungsmitteln auf mehrere Personen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Berechtigung KANN die Aufteilung von Authentisierungsmitteln auf mehrere Personen verankern." + }, + { + "id": "BER.3.14_gdn", + "name": "guidance", + "prose": "Dient zur Absicherung des Zugriffs auf Daten, deren Vertraulichkeit oder Integrität als hoch einzuschätzen ist, nach dem Vier-Augen-Prinzip. Dazu kann z.B. Person #1 die ersten zehn Stellen eines Passwort kennen und Person #2 die hinteren zehn Stellen eines Passwortes. Oder aber Person #1 erhält einen Hardwaretoken, während Person #2 das Passwort kennt." + } + ] + }, + { + "id": "BER.3.15", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Keine Gruppenkonten", + "props": [ + { + "name": "alt-identifier", + "value": "78e70d76-b423-4707-a3c4-27f416fa7d14" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Insider Threat" + } + ], + "parts": [ + { + "id": "BER.3.15_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Gruppenkonten" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "untersagen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Berechtigung SOLLTE Gruppenkonten untersagen." + }, + { + "id": "BER.3.15_gdn", + "name": "guidance", + "prose": "Werden Zugangskonten von mehr als einer Person genutzt, so kann später nur noch schwer ermittelt werden, wer eine bestimmte Tätigkeit mit dem Konto ausgeführt hat." + } + ] + }, + { + "id": "BER.3.16", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Gruppenkonten - MFA", + "props": [ + { + "name": "alt-identifier", + "value": "d59c4b33-c1d6-446a-bb0f-047fe832974d" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Insider Threat" + } + ], + "parts": [ + { + "id": "BER.3.16_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "für Gruppenkonten die Mehr-Faktor-Authentisierung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Berechtigung SOLLTE für Gruppenkonten die Mehr-Faktor-Authentisierung aktivieren." + }, + { + "id": "BER.3.16_gdn", + "name": "guidance", + "prose": "Werden trotz des damit verbundenen Risikos Gruppenkonten genutzt, so kann mit Mehr-Faktor-Authentifizierung der Mißbrauch von Zugangsdaten erschwert werden. Kann zum Beispiel durch mehrere dem Zugangskonto zugewiesene Hardwaretoken oder durch OTP-Apps umgesetzt werden. Falls keine Gruppenkonten verwendet werden, so ist die Anforderung entbehrlich." + } + ] + }, + { + "id": "BER.3.17", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Gruppenkonten - Wechsel dokumentieren", + "props": [ + { + "name": "alt-identifier", + "value": "8a3e8298-6e99-4fe7-9924-72a910207f4f" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "BER.3.17_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Inventar Berechtigungen" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "für Gruppenkonten die Identitäten, welche die Möglichkeit zum Zugriff haben," + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "zum Wechselzeitpunkt" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Berechtigung SOLLTE für Gruppenkonten die Identitäten, welche die Möglichkeit zum Zugriff haben, zum Wechselzeitpunkt dokumentieren." + }, + { + "id": "BER.3.17_gdn", + "name": "guidance", + "prose": "Es kann z.B. anhand von Dienst- oder Anwesenheitsplänen nachvollzogen werden, wer wann theoretisch Zugriff gehabt haben könnte. Werden keine Gruppenkonten verwendet, so ist die Anforderung entbehrlich." + } + ] + }, + { + "id": "BER.3.18", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Gruppenkonten - Passwortwechsel bei Weggang", + "props": [ + { + "name": "alt-identifier", + "value": "08b7177e-98ce-435f-b9bb-44eade12366b" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Password Policy" + } + ], + "parts": [ + { + "id": "BER.3.18_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "für Gruppenkonten die Änderung von Zugangsdaten" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "bei Weggang von Nutzenden" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "ausführen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Berechtigung SOLLTE für Gruppenkonten die Änderung von Zugangsdaten bei Weggang von Nutzenden ausführen." + }, + { + "id": "BER.3.18_gdn", + "name": "guidance", + "prose": "Gruppenkonten werden von mehreren Nutzenden (z.B. Schichtdienst) verwendet. Verlassen Nutzende die Institution oder Wechseln das Tätigkeitsfeld und das Passwort des Gruppenkontos wird nicht gewechselt, so besteht die Gefahr, dass das Gruppenkonto unberechtigt verwendet wird." + } + ] + }, + { + "id": "BER.3.19", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Zwischenspeicherung von Zugangsdaten", + "props": [ + { + "name": "alt-identifier", + "value": "13d83a70-bce9-4027-8d4b-d16ee051cfd5" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "BER.3.19_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Inventar Berechtigungen" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Zwischenspeicherung der Zugangsdaten" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "von Nutzern" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "deaktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Berechtigung für IT-Systeme SOLLTE die Zwischenspeicherung der Zugangsdaten von Nutzern deaktivieren." + }, + { + "id": "BER.3.19_gdn", + "name": "guidance", + "prose": "Wird die Zwischenspeicherung von Zugangsdaten auf IT-Systemen deaktiviert, so wird Angreifern deren Diebstahl erschwert. Kann unter Windows ab Server 2012 R2 durch Zuweisung aller Zugangskonten zur Gruppe \"Geschützte Benutzer\" (Protected Users) umgesetzt werden. Konten für Dienste und Computer brauchen nicht Mitglied von „Geschützte Nutzer“ sein." + } + ] + }, + { + "id": "BER.3.20", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Dienstekonten", + "props": [ + { + "name": "alt-identifier", + "value": "403fac1f-a78a-4548-858e-a06168253dea" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + } + ], + "parts": [ + { + "id": "BER.3.20_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Hostsysteme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Inventar Berechtigungen" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine automatische Verwaltung der Zugangsdaten" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "von Dienste-Konten" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Berechtigung für Hostsysteme SOLLTE eine automatische Verwaltung der Zugangsdaten von Dienste-Konten aktivieren." + }, + { + "id": "BER.3.20_gdn", + "name": "guidance", + "prose": "Eine automatische Verwaltung der Zugangsdaten von Dienste-Konten bezeichnet in diesem Kontext die technische Fähigkeit, Passwörter, Schlüssel oder Tokens solcher Konten – im Englischen häufig als service accounts oder machine identities bezeichnet – durch spezialisierte Systeme ohne manuelles Eingreifen zu erzeugen, zu speichern, regelmäßig zu erneuern und kontrolliert zu verteilen. Zugangsdaten sind hierbei sämtliche Authentifizierungsinformationen, die einem Dienst ermöglichen, auf Ressourcen anderer Systeme zuzugreifen, beispielsweise API-Schlüssel, SSH-Keys oder Anmeldedaten für Datenbanken. Dienste-Konten werden meist von Applikationen, Hintergrunddiensten oder Automatisierungsprozessen genutzt und unterscheiden sich von personenbezogenen Benutzerkonten dadurch, dass sie keinem Individuum zugeordnet sind, sondern einem technischen Zweck dienen. Erfolgt bei Zugangskonten für automatisierte Dienste eine automatische Rotation von Passwörtern oder Anmeldezertifikaten, so werden statische Passwörter, die Ablage von Zugangsdaten auf Netzlaufwerken oder plötzliche Fehlfunktionen durch Zertifikatsablauf vermieden. Ihre automatische Verwaltung kann durch zentrale Passworttresore (password vaults), Identitätsmanagementsysteme (Identity and Access Management, IAM) oder Secret-Management-Lösungen realisiert werden." + } + ] + }, + { + "id": "BER.3.21", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Notfallzugang", + "props": [ + { + "name": "alt-identifier", + "value": "abdd8f32-ec02-491a-a39b-7b0b25a597ca" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "1" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "BCM, Privilegierte Rechte" + } + ], + "parts": [ + { + "id": "BER.3.21_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Inventar Berechtigungen" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Notfallzugangskonten" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "installieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Berechtigung KANN Notfallzugangskonten installieren." + }, + { + "id": "BER.3.21_gdn", + "name": "guidance", + "prose": "Ein Notfallzugangskonto (sog. Break Glass Account) ist ein Zugang mit privilegierten Berechtigungen, der bei Notfällen als letztes Mittel zum Zugang zu wichtigen Systemen verwendet werden kann, z.B. Verzeichnisdienste, Cloud-Infrastrukturen. Es empfiehlt sich für diese Konten die Verwendung langer Passwörter und die Aufbewahrung dieser z.B. in einem Safe oder aufgeteilt auf mehrere Administrierende." + } + ] + }, + { + "id": "BER.3.22", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Notfallzugang Verzeichnisdienst", + "props": [ + { + "name": "alt-identifier", + "value": "7cd7ca02-458d-4348-ae2f-0b096d4078e3" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "BCM" + } + ], + "parts": [ + { + "id": "BER.3.22_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Verzeichnisdienste" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Inventar Berechtigungen" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "ein Notfallzugangskonto" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "installieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Berechtigung für Verzeichnisdienste SOLLTE ein Notfallzugangskonto installieren." + }, + { + "id": "BER.3.22_gdn", + "name": "guidance", + "prose": "Ein Notfallzugangskonto (sog. Break Glass Account) ist ein Zugang mit privilegierten Berechtigungen, der bei Notfällen als letztes Mittel zum Zugang zu wichtigen Systemen verwendet werden kann, z.B. Verzeichnisdienste, Cloud-Infrastrukturen. Verwenden Sie für diese Konten lange Passwörter und bewahren Sie diese z.B. in einem Safe oder aufgeteilt auf mehrere Administrierende auf." + } + ] + } + ] + }, + { + "id": "BER.4", + "title": "Authentifizierung", + "props": [ + { + "name": "label", + "value": "4" + }, + { + "name": "alt-identifier", + "value": "618d8261-144b-478d-a003-dde3c830b0e6" + } + ], + "controls": [ + { + "id": "BER.4.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Identitätsüberprüfung", + "props": [ + { + "name": "alt-identifier", + "value": "fb946aab-b392-49b1-bb88-44902c331955" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Password Policy" + } + ], + "parts": [ + { + "id": "BER.4.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine Identitätsüberprüfung" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "vor dem Zurücksetzen von Passworten" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "ausführen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Berechtigung SOLLTE eine Identitätsüberprüfung vor dem Zurücksetzen von Passworten ausführen." + }, + { + "id": "BER.4.1_gdn", + "name": "guidance", + "prose": "Das unberechtigte Zurücksetzen von Zugangsdaten ist eine bekannte Angriffsmethode. Eine eindeutige Identifizierung des Inhabers des Zugangs z.B. anhand eines Personalausweises oder OTP ist eine zwingende Voraussetzung bevor eine Zurücksetzung erfolgen kann." + } + ] + } + ] + }, + { + "id": "BER.5", + "title": "Berechtigungsmanagement", + "props": [ + { + "name": "label", + "value": "5" + }, + { + "name": "alt-identifier", + "value": "a4083c4c-2ba7-4444-be07-6171b5d83f28" + } + ], + "controls": [ + { + "id": "BER.5.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Prinzip der geringsten Berechtigungen", + "props": [ + { + "name": "alt-identifier", + "value": "0e1f4190-44ad-48f0-9504-781aef585ba0" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "1" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Security by Default, Privilegierte Rechte" + } + ], + "parts": [ + { + "id": "BER.5.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Inventar Berechtigungen" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Vergabe von Berechtigungen nach dem Prinzip der geringsten Berechtigungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "einschränken" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Berechtigung SOLLTE die Vergabe von Berechtigungen nach dem Prinzip der geringsten Berechtigungen einschränken." + }, + { + "id": "BER.5.1_gdn", + "name": "guidance", + "prose": "Das Prinzip der geringsten Berechtigungen, im Englischen als Principle of Least Privilege (PoLP) bekannt, besagt, dass Nutzende, Prozesse oder Systeme nur die minimal notwendigen Zugriffsrechte erhalten dürfen, um die ihnen jeweils zugewiesenen Aufgaben zu erfüllen. Dies dient primär der Minimierung der Angriffsfläche und der Begrenzung potenzieller Schäden. Sollte beispielsweise ein Zugangskonto durch Phishing kompromittiert werden, könnte ein Angreifer ohne dieses Prinzip weitreichenden Zugriff auf kritische Daten oder Systeme erlangen und diese manipulieren, exfiltrieren oder verschlüsseln. Die konsequente Anwendung dieses Grundsatzes kann die Ausbreitung von Schadsoftware nach einem ersten Eindringen erheblich erschweren und sicherstellen, dass Mitarbeitende nur jene Informationen einsehen, die für ihre Tätigkeit unmittelbar relevant sind. Hierdurch wird auch das Risiko von Datendiebstahl durch Innentäter reduziert. Es empfiehlt sich als Ergänzung hier auch das \"Need to know\"-Prinzip zu betrachten, da sich beide Prinzipien ergänzen. Während das \"Least Privilege\"-Prinzip auf Systremrechte, Rollen und Berechtigungen fokussiert, liegt der Fokus des \"Need to know\"-Prinzips mehr auf Informationen und Datenzugriff. Zur sinnvollen Umsetzung kann die Institution ein rollenbasiertes Berechtigungskonzept (Role-Based Access Control, RBAC) etablieren, bei dem Berechtigungen nicht an einzelne Personen, sondern an vordefinierte Rollen (z.B. \"Finanzbuchhaltung\" oder \"Netzwerkadministrator\") gebunden werden. Für die Einführung in eine bestehende Umgebung kann ein gestuftes Vorgehen gewählt werden: (1) Zunächst wird ein Überwachungsmodus (\"Audit-Only\") aktiviert, der protokolliert, welche Zugriffe durch eine strengere Richtlinie verweigert würden, ohne sie tatsächlich zu blockieren. (2) Anschließend werden diese Protokolle analysiert, um legitime, für den Geschäftsbetrieb notwendige Zugriffe zu identifizieren und diese gezielt in die jeweiligen Rollen und Berechtigungsgruppen aufzunehmen. (3) Erst wenn keine legitimen Zugriffe mehr in den Protokollen als \"verweigert\" auftauchen, wird die Richtlinie scharf geschaltet und blockiert aktiv alle nicht explizit erlaubten Zugriffe. Alle relevanten Anforderungen zur Vergabe von Berechtigungen können mit den Handlungsworten \"authentifizieren\", \"autorisieren\" und \"einschränken\" gefunden werden." + } + ], + "controls": [ + { + "id": "BER.5.1.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Rollenbasierte Berechtigung", + "props": [ + { + "name": "alt-identifier", + "value": "a9aa521b-e610-40ae-80d0-f1dd3b4ec47f" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Zero Trust" + } + ], + "links": [ + { + "href": "#PERS.2.2", + "rel": "required" + } + ], + "parts": [ + { + "id": "BER.5.1.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Inventar Berechtigungen" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Berechtigungen rollenbasiert" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "zuweisen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Berechtigung SOLLTE Berechtigungen rollenbasiert zuweisen." + }, + { + "id": "BER.5.1.1_gdn", + "name": "guidance", + "prose": "Aus Gründen der Nachvollziehbarkeit und des administrativen Aufwands wird die direkte Vergabe von Berechtigungen an Einzelkonten vermieden. Berechtigungen werden gemäß dem Least-Privilege-Prinzip in Rollen gebündelt, wobei die Zuweisung und der Entzug ausschließlich über diese Rollen erfolgt. Etwaige Ausnahmen, beispielsweise für temporäre Spezialrechte, werden restriktiv gehandhabt, nachvollziehbar dokumentiert und zeitlich befristet." + } + ] + }, + { + "id": "BER.5.1.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "JIT‑/JEA‑Berechtigungen", + "params": [ + { + "id": "ber.5.1.2-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "e549f464-b2fb-42a1-83b9-21bd3bb0f3cf" + } + ], + "label": "besonders kritische Ressourcen oder Zugänge" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "e549f464-b2fb-42a1-83b9-21bd3bb0f3cf" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Zero Trust" + } + ], + "parts": [ + { + "id": "BER.5.1.2_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Inventar Berechtigungen" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Berechtigung zum Zeitpunkt des Zugriffs" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "für {{besonders kritische Ressourcen oder Zugänge}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Berechtigung KANN die Berechtigung zum Zeitpunkt des Zugriffs für {{ insert: param, ber.5.1.2-prm1 }} aktivieren." + }, + { + "id": "BER.5.1.2_gdn", + "name": "guidance", + "prose": "„JIT‑/JEA‑Berechtigungen“ (Just‑In‑Time/Just‑Enough‑Access) ist die zeitlich und inhaltlich begrenzte Vergabe von Rechten zum Zeitpunkt eines Zugriffs auf eine Ressource. Dies kann insbesondere für privilegierte Zugangskonten und Administrationszugänge sinnvoll sein, um erhöhte Rechte nur genau dann zu ermöglichen, wenn sie wirklich erforderlich sind." + } + ] + } + ] + }, + { + "id": "BER.5.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Begründung von Berechtigungen", + "props": [ + { + "name": "alt-identifier", + "value": "d1151b4b-8e26-48fe-a4fe-8c6f14d3bdce" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "BER.5.2_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Inventar Berechtigungen" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Vergabe von Berechtigungen und Änderungen an Berechtigungen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "mit einer Begründung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Berechtigung SOLLTE die Vergabe von Berechtigungen und Änderungen an Berechtigungen mit einer Begründung dokumentieren." + }, + { + "id": "BER.5.2_gdn", + "name": "guidance", + "prose": "Zweck ist die Nachvollziehbarkeit der Vergabe von Berechtigungen. Die Dokumentation kann z.B. mit einem Identity-Access-Management oder Personalmanagementsystem automatisiert werden." + } + ] + }, + { + "id": "BER.5.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Überprüfung von Berechtigungen", + "params": [ + { + "id": "ber.5.3-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "4123f246-95b2-4785-9714-17a5e68462c5" + } + ], + "label": "regelmäßig" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "4123f246-95b2-4785-9714-17a5e68462c5" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "BER.5.3_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Prüfplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "vergebene Berechtigungen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{regelmäßig}} auf Erforderlichkeit" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überprüfen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Berechtigung SOLLTE vergebene Berechtigungen {{ insert: param, ber.5.3-prm1 }} auf Erforderlichkeit überprüfen." + }, + { + "id": "BER.5.3_gdn", + "name": "guidance", + "prose": "Erforderlichkeit bedeutet in diesem Kontext, dass eine vergebene Berechtigung nur dann als gerechtfertigt gilt, wenn sie für die aktuelle Aufgabenwahrnehmung, Rolle oder Funktion einer Person tatsächlich benötigt wird. Dabei kann zwischen fachlicher Notwendigkeit (z. B. Zugriff auf eine bestimmte Anwendung, um Kernaufgaben erfüllen zu können) und zeitlicher Relevanz (z. B. Projektzugriff, der nur für die Dauer des Projekts sinnvoll ist) unterschieden werden. Als mögliche Werte für den Parameter regelmäßig bieten sich an: (1) quartalsweise, (2) halbjährlich, (3) jährlich – je nach Kritikalität der Systeme und Sensibilität der Daten. Die regelmäßige Überprüfung der Erforderlichkeit kann verhindern, dass sich unbemerkt überhöhte Rechte („Privilege Creep“) ansammeln, die Angreifern im Falle einer Kompromittierung zusätzlichen Spielraum eröffnen könnten. Ohne solche Kontrollen könnte ein ehemaliger Projektmitarbeiter weiterhin Zugang zu sensiblen Daten haben oder ein interner Angreifer auf nicht benötigte Administrationsrechte stoßen. Umgekehrt kann die Überprüfung sicherstellen, dass Berechtigungen stets am aktuellen Aufgabenprofil ausgerichtet bleiben und so Schaden durch Missbrauch oder Fehlhandlungen eingedämmt werden kann. Zur Umsetzung kann eine Institution rollenbasierte Zugriffskonzepte einsetzen, die regelmäßig mit den Ist-Berechtigungen der Nutzer abgeglichen werden („Access Reviews“). Dies kann durch automatisierte Reports aus Verzeichnisdiensten, Datenbanken oder Fachanwendungen erfolgen, die Verantwortlichen zur Bestätigung oder Korrektur vorgelegt werden. Hilfreich kann auch ein Vier-Augen-Prinzip sein, bei dem Vorgesetzte die Notwendigkeit von Berechtigungen bestätigen. Darüber hinaus kann es nützlich sein, temporäre Projekt- oder Sonderrechte mit Ablaufdatum zu vergeben, sodass diese automatisch entzogen werden, wenn sie nicht mehr bestätigt werden." + } + ], + "controls": [ + { + "id": "BER.5.3.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Überprüfung tatsächlicher Berechtigungen", + "params": [ + { + "id": "ber.5.3.1-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "4e815b01-7a59-4e8c-bbcc-e4998f342e68" + } + ], + "label": "regelmäßig" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "4e815b01-7a59-4e8c-bbcc-e4998f342e68" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + } + ], + "links": [ + { + "href": "#BER.5.2", + "rel": "required" + } + ], + "parts": [ + { + "id": "BER.5.3.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Inventar Berechtigungen" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "dokumentierte und tatsächlich vergebene Berechtigungen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{regelmäßig}} auf Übereinstimmung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überprüfen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Berechtigung SOLLTE dokumentierte und tatsächlich vergebene Berechtigungen {{ insert: param, ber.5.3.1-prm1 }} auf Übereinstimmung überprüfen." + }, + { + "id": "BER.5.3.1_gdn", + "name": "guidance", + "prose": "Der Sinn und Zweck der Vorgabe liegt darin, eine unbemerkte Abweichung zwischen Dokumentation und Realität frühzeitig zu erkennen. Ohne diesen Abgleich könnte es vorkommen, dass ehemalige Mitarbeitende weiterhin Zugriff auf interne Systeme behalten oder dass sich im Laufe der Zeit unautorisierte Rechteanhäufungen einschleichen. Durch eine wirksame Überprüfung kann hingegen sichergestellt werden, dass nur aktuelle, geprüfte und erforderliche Zugriffsrechte bestehen bleiben und so die Angriffsfläche der Institution reduziert werden kann. Zur Umsetzung kann die Institution Berechtigungsübersichten automatisiert aus IT-Systemen exportieren und diese mit den in Verzeichnissen oder Rollenmodellen hinterlegten Daten vergleichen, z.B. anhand eines automatisierten Abgleiches mit Personalstammdaten einmal pro Quartal. Diese Anforderung ist auch dann erfüllt, wenn Dokumentation der Berechtigungen und tatsächliche Berechtigung (z.B. ein Verzeichnisdienst) dasselbe sind. Bitte beachten Sie dabei, dass die generelle Anforderung zur Überprüfung vergebener Berechtigungen weiter gefasst ist und z.B. auch den Abgleich zwischen tatsächlich vergebenen Berechtigungen und nicht dokumentieren Erfordernissen (beispielsweise durch die Vorlage bei Vorgesetzten) umfassen kann." + } + ] + } + ] + }, + { + "id": "BER.5.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Kompromittierte Berechtigungsmittel", + "props": [ + { + "name": "alt-identifier", + "value": "7dbede94-beea-430f-b058-3ff2f9f6b90c" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "1" + } + ], + "parts": [ + { + "id": "BER.5.4_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "kompromittierte Berechtigungsmittel" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "deaktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Berechtigung SOLLTE kompromittierte Berechtigungsmittel deaktivieren." + }, + { + "id": "BER.5.4_gdn", + "name": "guidance", + "prose": "Ein Berechtigungsmittel gilt als kompromittiert, wenn Anzeichen bestehen, dass Unbefugte es nutzen oder Zugriff darauf gehabt haben könnten. Beispiele sind Passwörter, die durch Datenlecks öffentlich geworden sind, oder biometrische Merkmale (z. B. Fingerabdrücke), die Unbefugten vorliegen. In solchen Fällen ist das Berechtigungsmittel zu sperren oder zu entziehen, etwa durch den Einsatz von Sperrlisten. Bei biometrischen Merkmalen besteht zusätzlich ein enger Bezug zu datenschutzrechtlichen Anforderungen, da diese Daten nicht einfach ausgetauscht werden können." + } + ] + }, + { + "id": "BER.5.5", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Systemfunktionen ohne Authentifizierung", + "props": [ + { + "name": "alt-identifier", + "value": "bf5b5f6a-f525-45fc-b5a5-62379b3e6b2f" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + } + ], + "parts": [ + { + "id": "BER.5.5_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Systemdokumentation" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Funktionen, auf die ohne vorherige Authentifizierung zugegriffen werden kann," + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Berechtigung für IT-Systeme SOLLTE Funktionen, auf die ohne vorherige Authentifizierung zugegriffen werden kann, dokumentieren." + }, + { + "id": "BER.5.5_gdn", + "name": "guidance", + "prose": "Funktionen ohne Authentifizierung sind alle Zugriffsmöglichkeiten auf Schnittstellen oder Daten des Systems, für die keine Authentifizierung erforderlich ist. Hierzu gehören z. B. Sprachassistenten, offene Webserver-Ports oder das Einblenden von Inhalten aus Apps auf dem Sperrbildschirm, wodurch persönliche Nachrichten oder Logintoken für Unbefugte zugänglich sein könnten. Solche Funktionen sind häufige Einfallstore für Angriffe auf das System oder für Datenleaks. Daher ist es sinnvoll eine Übersicht dieser Funktionen zu führen, selbst wenn die Funktionen benötigt werden." + } + ] + }, + { + "id": "BER.5.6", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Anwendungsfunktionen ohne Authentifizierung", + "props": [ + { + "name": "alt-identifier", + "value": "383f3a5e-d627-46aa-960f-4e8c5c9c9592" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + } + ], + "parts": [ + { + "id": "BER.5.6_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Anwendungsdokumentation" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Funktionen, auf die ohne vorherige Authentifizierung zugegriffen werden kann," + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Berechtigung für Anwendungen SOLLTE Funktionen, auf die ohne vorherige Authentifizierung zugegriffen werden kann, dokumentieren." + }, + { + "id": "BER.5.6_gdn", + "name": "guidance", + "prose": "Hierzu gehören z.B. der Zugriff auf öffentliche Inhalte oder Funktionen zum Zurücksetzen des Passwortes, wodurch persönliche Daten oder Logintoken für Unbefugte zugänglich sein könnten. Allerdings kann es auch unauthentifizierte Funktionen geben, die für Betrieb oder Informationssicherheit benötigt werden, z.B. Meldeformulare für Sicherheitsvorfälle oder öffentliche Webseiteninhalte." + } + ] + }, + { + "id": "BER.5.7", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "IT-System-Zugangskonto", + "props": [ + { + "name": "alt-identifier", + "value": "7057a1f6-0804-49ac-9d7f-289ecc71fa33" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "parts": [ + { + "id": "BER.5.7_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Inventar Berechtigungen" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "diese genau einem Zugangskonto" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "zuweisen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Berechtigung für IT-Systeme KANN diese genau einem Zugangskonto zuweisen." + }, + { + "id": "BER.5.7_gdn", + "name": "guidance", + "prose": "Wenn ein besonders schützenswertes IT-System nur von einer Person oder Identität genutzt wird, empfiehlt es sich dieses mit genau einem zugehörigen Zugangskonto zu verknüpfen. Dadurch wird ausgeschlossen, dass weitere Konten unnötig Zugriff erhalten. Bei Revisionen ist auf diese Weise eindeutig nachvollziehbar, welche Identität Zugriff auf das System hatte. Das Vorgehen ist auch auf virtualisierte IT-Systeme übertragbar. Ein Beispiel ist eine spezielle Administrationskonsole, die ausschließlich einem dedizierten Admin-Konto zugeordnet ist." + } + ] + }, + { + "id": "BER.5.8", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Entzug von Berechtigungen", + "props": [ + { + "name": "alt-identifier", + "value": "12ab3443-67a1-4ecd-9177-d9547f62d27e" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "links": [ + { + "href": "#PERS.6.1", + "rel": "required" + }, + { + "href": "#PERS.6.1.1", + "rel": "related" + } + ], + "parts": [ + { + "id": "BER.5.8_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine Vorgehensweise zum Entzug von Berechtigungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Berechtigung SOLLTE eine Vorgehensweise zum Entzug von Berechtigungen verankern." + }, + { + "id": "BER.5.8_gdn", + "name": "guidance", + "prose": "Innerhalb der Institution ist ein Prozess etabliert, mit dem Berechtigungen system- und anwendungsübergreifend entzogen sowie Zugänge deaktiviert oder gelöscht werden, sobald diese nicht mehr benötigt werden. Dadurch wird sichergestellt, dass bei Personalwechseln oder Aufgabenänderungen keine Berechtigungen für einzelne Systeme oder Anwendungen bestehen bleiben. Der Entzug von Berechtigungen bei Kündigungen, Versetzungen oder Änderungen von Zuständigkeiten ist, soweit möglich, als automatisierter Ablauf umgesetzt." + } + ] + } + ] + }, + { + "id": "BER.6", + "title": "Passwortgebrauch", + "props": [ + { + "name": "label", + "value": "6" + }, + { + "name": "alt-identifier", + "value": "b2a0a857-7c7a-4a32-8abb-bf238de1f19c" + } + ], + "controls": [ + { + "id": "BER.6.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Passwortmanager", + "props": [ + { + "name": "alt-identifier", + "value": "c1cfa733-340c-497d-a3b6-8480d78e1278" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Password Policy" + } + ], + "parts": [ + { + "id": "BER.6.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Nutzende" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "einen Passwortmanager" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "installieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Berechtigung für Nutzende SOLLTE einen Passwortmanager installieren." + }, + { + "id": "BER.6.1_gdn", + "name": "guidance", + "prose": "Der Einsatz eines Passwortmanagers, der von der Institution den Nutzenden zur Verfügung gestellt wird, erleichtert die Generierung von sicheren Passwörtern und deren sicherer Verwahrung, indem eine verschlüsselte Datenbank genutzt wird und der Zugang zu dem Passwortmanager mit einem Masterpasswort oder Multi-Faktor Authentisierung geschützt ist." + } + ] + }, + { + "id": "BER.6.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Vorkonfigurierte Authentisierungsmittel", + "props": [ + { + "name": "alt-identifier", + "value": "7e0edf55-22d6-42d8-973f-d3f8635a0913" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "1" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Advanced Persistent Threats (APT)" + } + ], + "parts": [ + { + "id": "BER.6.2_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "vorkonfigurierte Authentisierungsmittel" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "deaktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Berechtigung SOLLTE vorkonfigurierte Authentisierungsmittel deaktivieren." + }, + { + "id": "BER.6.2_gdn", + "name": "guidance", + "prose": "Herstellerseitige Standardkonten und Default-Passwörter stellen ein beliebtes Eingangstor für Angreifer dar. Wenn vorhanden können auch andere Zugangsmittel wie Hardware-Zugangstoken, Zertifikate oder physische Zugangskontrollsysteme als Authentisierungsmittel verstanden werden." + } + ] + }, + { + "id": "BER.6.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Deaktivierung einfacher Biometrie", + "props": [ + { + "name": "alt-identifier", + "value": "4483f020-da27-44af-ae23-edf7d676d72f" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "BER.6.3_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Authentifizierung nur anhand von Biometrie" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "deaktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Berechtigung SOLLTE die Authentifizierung nur anhand von Biometrie deaktivieren." + }, + { + "id": "BER.6.3_gdn", + "name": "guidance", + "prose": "Wenn die Authentifizierung nur biometrisch vorgenommen wird (z.B. anhand von Fingerabdrücken oder Abbildern des Gesichtes), dann könnten Angreifer Fälschungen oder gestohlene Fingerabdrücke missbrauchen, um sich Zugang zu verschaffen. Werden biometrische Verfahren dagegen mit weiteren Authentisierungsmittel (z.B. einer PIN) kombiniert, können sie den Zugriffsschutz verbessern. Ein häufig vorkommendes Beispiel sind Mobilgeräte wie Smartphones, die durch Fingerabdruck den Zugriff auf Daten oder Funktionen wie das mobile Bezahlen gestatten - obwohl auf dem Gerät selbst häufig noch Fingerabdrücke erkennbar sind." + } + ] + }, + { + "id": "BER.6.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Mehr-Faktor-Authentisierung am Perimeter", + "props": [ + { + "name": "alt-identifier", + "value": "2b9ddd3e-5233-46f5-abca-1793b89e2809" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "MFA, Credential Stuffing, Brute-Force-Attacke" + } + ], + "parts": [ + { + "id": "BER.6.4_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Anwendungen, Externe Netzanschlüsse" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Mehr-Faktor-Authentisierung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Berechtigung für Anwendungen von Externe Netzanschlüssen SOLLTE Mehr-Faktor-Authentisierung aktivieren." + }, + { + "id": "BER.6.4_gdn", + "name": "guidance", + "prose": "Aus externen Netzen wie dem Internet erreichbaren Anwendungen (insbesondere die VPN-Einwahl oder Cloud-Anwendungen) stellen ein beliebtes Ziel für Angreifer dar. Eine Mehr-Faktor-Authentifizierung erschwert einen unberechtigten Zugang zu diesen extern erreichbaren Anwendungen." + } + ] + }, + { + "id": "BER.6.5", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Mehr-Faktor-Authentisierung für weitreichende Berechtigungen", + "props": [ + { + "name": "alt-identifier", + "value": "55b70084-f446-42af-908b-0f514a72f380" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "MFA, Living off the land, Privilege Escalation, Credential Stuffing, Brute-Force-Attacke" + } + ], + "links": [ + { + "href": "#BER.3.5", + "rel": "required" + }, + { + "href": "#BER.6.4", + "rel": "related" + } + ], + "parts": [ + { + "id": "BER.6.5_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Mehr-Faktor-Authentisierung" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "für weitreichende Berechtigungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Berechtigung SOLLTE Mehr-Faktor-Authentisierung für weitreichende Berechtigungen aktivieren." + }, + { + "id": "BER.6.5_gdn", + "name": "guidance", + "prose": "Eine Mehr-Faktor-Authentifizierung bei Zugängen mit weitreichenden Berechtigungen, z.B. Administrationskonten, die Zugriff auf wichtige Server wie den Verzeichnisdienst, das MDM, EDR oder DNS haben, erschwert den unberechtigten Zugang zu diesen Zugängen. Auch der Zugriff auch besonders sensible Daten kann eine weitreichende Berechtigung sein." + } + ] + }, + { + "id": "BER.6.6", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Blockieren von Passwort Recycling", + "props": [ + { + "name": "alt-identifier", + "value": "d7c76736-0c1d-4693-92d5-894a8b740204" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Credential Stuffing, Privilege Escalation, Password Policy" + } + ], + "parts": [ + { + "id": "BER.6.6_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Nutzende" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Wiederverwendung von Passwörtern" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "blockieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Berechtigung für Nutzende SOLLTE die Wiederverwendung von Passwörtern blockieren." + }, + { + "id": "BER.6.6_gdn", + "name": "guidance", + "prose": "Die Wiederverwendung von Passwörtern („password reuse“) ist die Nutzung identischer oder bereits früher verwendeter Passwörter für verschiedene Konten, Systeme oder aufeinanderfolgende Authentifizierungsvorgänge. Die Blockierung der Passwortwiederverwendung bedeutet hier, dass das Berechtigungsmanagementsystem („access management system“) technisch verhindert, dass ein neues Passwort mit einem zuvor verwendeten identisch ist oder einer vordefinierten Anzahl früherer Passwörter entspricht. Dies könnte nicht nur bei Wiederverwendung einer Person problematisch sein, sondern auch bei einer systemübergreifenden Fehlkonfiguration: Ein typisches Szenario wäre, dass in einer Institution mehrere Arbeitsplatzrechner mit identischen lokalen Administratorpasswörtern konfiguriert sind („local admin password reuse“). Wird ein einzelner Rechner durch Schadsoftware oder physischen Zugriff kompromittiert, könnte ein Angreifer dieses Passwort anschließend nutzen, um sich mit denselben Anmeldeinformationen lateral auf weitere Systeme auszubreiten. Die Wiederverwendung des lokalen Administratorpassworts könnte somit eine vollständige Kompromittierung der internen IT-Infrastruktur ermöglichen. Diese Anforderung adressiert den Schutz vor solchen Angriffen, die sich aus der Wiederverwendung kompromittierter Anmeldeinformationen ergeben könnten, etwa durch Credential-Stuffing oder Brute-Force-Angriffe auf bekannte Passwortmuster. Blockieren kann das Risiko verringern, dass ein Angreifer durch bekannte Passwörter unbefugten Zugang zu Konten erhält. Hierzu können zum einen eine lokale Passworthistorie oder zum anderen elektronische Passwortmanager genutzt werden, die unabhängige sichere Passwörter generieren, wo die Wahrscheinlichkeit einer Passwortwiederholung ausgeschlossen werden kann." + } + ] + }, + { + "id": "BER.6.7", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Trivialpasswörter", + "props": [ + { + "name": "alt-identifier", + "value": "f0722999-f8c4-4c75-810b-94d7563dd698" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Credential Stuffing, Password Policy" + } + ], + "parts": [ + { + "id": "BER.6.7_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Nutzende" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Verwendung von Trivialpassworten" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "blockieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Berechtigung für Nutzende SOLLTE die Verwendung von Trivialpassworten blockieren." + }, + { + "id": "BER.6.7_gdn", + "name": "guidance", + "prose": "Trivialpasswörter sind leicht zu erratende oder zu diesem Zugangskonto bereits öffentlich bekannte Passwörter (erkennbar durch Nutzung sog. Leak Check Datenbanken). Leicht zu erraten sind Passwörter, wenn sie mit gängigen Wörterbuchangriffen (dictionary attacks) bzw. systematischem Ausprobieren (brute force) in kurzer Zeit zu kompromittieren sind. Dazu zählen etwa einfache Folgen wie „123456“, „Passwort“ oder „qwerty“ sowie häufig vorkommende, in Leaks dokumentierte Standardkombinationen. Der Zweck der Anforderung liegt darin, das Risiko unautorisierter Zugriffe zu reduzieren: Ein Angreifer könnte mit automatisierten Tools in Sekunden oder Minuten triviale Passwörter durchprobieren, was zu einem unbefugten Zugriff auf Benutzerkonten, Systemressourcen oder sensible Daten führen könnte. Die Blockierung solcher Passwörter kann dagegen sicherstellen, dass nur schwer vorhersehbare Kennwörter verwendet werden, wodurch ein entscheidender Schutz gegen automatisierte Angriffsverfahren erreicht werden kann. Zudem können Passwortmanager beim Generieren nicht-trivialer Passwörter unterstützen." + } + ] + }, + { + "id": "BER.6.8", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Kriterien für die Qualität von Passwörtern", + "props": [ + { + "name": "alt-identifier", + "value": "af5ba77a-8d77-4a4f-8842-23ba9dedb829" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Privilege Escalation, Credential Stuffing, Brute-Force-Attacke, Password Policy, Cryptography" + } + ], + "parts": [ + { + "id": "BER.6.8_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Kriterien für die Qualität von Passwörtern" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "anhand von Lebensdauer und Angriffsmöglichkeiten" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Berechtigung SOLLTE Kriterien für die Qualität von Passwörtern anhand von Lebensdauer und Angriffsmöglichkeiten verankern." + }, + { + "id": "BER.6.8_gdn", + "name": "guidance", + "prose": "Kriterien für die Qualität von Passwörtern können z.B. eine minimale Entropie, Passwortlänge oder Verwendung verschiedener Symbole sein. Die Lebensdauer meint die erwartete Nutzungsdauer des Passwortes. Die erforderliche Qualität hängt von den Angriffsmöglichkeiten ab, z.B. Anzahl der Zugangskonten, verwendetes kryptografisches Verfahren (vgl. BSI TR-02102) und begleitenden Sicherheitsmaßnahmen wie maximale Passwortversuche oder Mehr-Faktor-Authentifizierung. Für Zugänge ohne begleitende Maßnahmen ist eine Passwortlänge nicht unter 14 Zeichen empfehlenswert. Die Kriterien können einmalig festgelegt werden oder zwischen Zugängen oder Anwendungen differenzieren." + } + ] + }, + { + "id": "BER.6.9", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Anlassbezogene Passwortwechsel", + "props": [ + { + "name": "alt-identifier", + "value": "4de1c314-e6b3-4b70-bc73-54cdafca7ae9" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "1" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Password Policy" + } + ], + "parts": [ + { + "id": "BER.6.9_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "einen Passwortwechsel" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "ausschließlich anlassbezogen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "ausführen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Berechtigung SOLLTE einen Passwortwechsel ausschließlich anlassbezogen ausführen." + }, + { + "id": "BER.6.9_gdn", + "name": "guidance", + "prose": "Ein ausschließlich anlassbezogener Passwortwechsel bedeutet, dass Passwörter nur genau dann geändert werden, wenn ein begründeter Sicherheitsanlass vorliegt – beispielsweise ein Verdacht auf Kompromittierung des Endgerätes oder Zugangs, neue einschlägige Einträge in öffentlichen Leak-Datenbanken, die Weitergabe an Unbefugte durch einen Phishing-Vorfall, oder technische Indikatoren für einen möglichen Missbrauch des Zugangs zu Systemen oder Anwendungen. Dieser Ansatz unterscheidet sich vom früher häufig praktizierten, periodischen Passwortwechsel, der ohne konkreten Anlass in festen Intervallen erzwungen wurde. Ein solcher erzwungener Rhythmus könnte die Passwortsicherheit sogar verringern, weil Nutzende dann dazu neigen, schwächere, nur leicht veränderte Passwörter („sommer5“) zu wählen oder Zugangsdaten in verschiedenen Zugängen wiederzuverwenden. Zweck dieser Regelung ist es, die tatsächliche Sicherheit von Zugangskonten zu erhöhen und unnötige Belastungen der Nutzenden zu vermeiden." + } + ] + }, + { + "id": "BER.6.10", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Monitoring von Zugangsdaten", + "params": [ + { + "id": "ber.6.10-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "4785649d-561d-4757-9421-4d0db14ee4df" + } + ], + "label": "einen automatisierten Mechanismus" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "4785649d-561d-4757-9421-4d0db14ee4df" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Credential Stuffing, Password Policy" + } + ], + "parts": [ + { + "id": "BER.6.10_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Detektions-Konzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Zugangsdaten auf Kompromittierung" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "durch {{einen automatisierten Mechanismus}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überwachen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Berechtigung SOLLTE Zugangsdaten auf Kompromittierung durch {{ insert: param, ber.6.10-prm1 }} überwachen." + }, + { + "id": "BER.6.10_gdn", + "name": "guidance", + "prose": "Eine Kompromittierung meint hier, dass Zugangsdaten wie Benutzername und Passwort (englisch: credentials) von Unbefugten eingesehen, abgefangen oder manipuliert wurden, sodass ein Missbrauch für unautorisierte Zugriffe möglich wird. Dies könnte etwa durch Leaks in Datenbanken, durch Phishing-Angriffe oder durch das Abfangen unverschlüsselter Übertragungen entstehen. Ein automatisierter Mechanismus bezeichnet hierbei eine technische Lösung, die ohne manuelles Zutun kontinuierlich prüft, ob bekannte Indikatoren einer Kompromittierung vorliegen (englisch: credential monitoring system). Geeignete Mechanismen können etwa Credential-Leak-Monitoring-Dienste, Data Breach Checker oder Darknet-Scanning-Tools sein. Der Zweck dieser Vorgabe liegt darin, dass ein frühzeitiges Erkennen von kompromittierten Zugangsdaten helfen kann, unautorisierte Logins und den Missbrauch sensibler Systeme zu verhindern; ohne eine solche Überwachung könnte ein Angreifer über lange Zeit unentdeckt mit gestohlenen Daten arbeiten und kritische Schäden verursachen. Ergeben sich hierbei Anzeichen auf eine Kompromittierung oder einen Leak der Zugangsdaten, so kann als Reaktion ein Wechsel der Zugangsdaten über einen nicht kompromittierten Kommunikationskanal veranlasst oder schlicht das betroffene Zugangskonto gesperrt werden." + } + ] + } + ] + }, + { + "id": "BER.7", + "title": "Schlüsselmanagement", + "props": [ + { + "name": "label", + "value": "7" + }, + { + "name": "alt-identifier", + "value": "a0e4d959-6ed7-4c83-acf8-29901ad3ddf9" + } + ], + "controls": [ + { + "id": "BER.7.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Etablierte Algorithmen bei der Schlüsselerzeugung", + "params": [ + { + "id": "ber.7.1-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "d9e08db0-484e-4cce-89de-2f29f1a52e4e" + } + ], + "label": "einem anerkannten Standard" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "d9e08db0-484e-4cce-89de-2f29f1a52e4e" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Cryptography" + } + ], + "parts": [ + { + "id": "BER.7.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die ausschließliche Verwendung etablierter kryptografischer Algorithmen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "bei der Schlüsselerzeugung nach {{einem anerkannten Standard}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Berechtigung SOLLTE die ausschließliche Verwendung etablierter kryptografischer Algorithmen bei der Schlüsselerzeugung nach {{ insert: param, ber.7.1-prm1 }} verankern." + }, + { + "id": "BER.7.1_gdn", + "name": "guidance", + "prose": "Etablierte kryptografische Algorithmen sind mathematisch fundierte Verschlüsselungsverfahren und Protokolle, die in der aktuellen Praxis nicht mit vertretbarem Aufwand gebrochen werden können. Sie basieren auf mathematisch schwer lösbaren Problemen, bieten Resistenz gegen bekannte kryptanalytische Angriffe, unterstützen ausreichend große Schlüssellängen und wurden von Experten gründlich geprüft und analysiert. Aktuelle etablierte Algorithmen sind in BSI TR-02102 zu finden. Für weitere Details zur Implementierung siehe Detailspezifikation kryptografischer Abläufe und Mechanismen des BSI." + } + ] + }, + { + "id": "BER.7.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Schlüssellänge", + "params": [ + { + "id": "ber.7.2-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "39301f7d-20ca-49c0-97e5-a8b048877e68" + } + ], + "label": "einem anerkannten Standard" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "39301f7d-20ca-49c0-97e5-a8b048877e68" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Cryptography" + } + ], + "parts": [ + { + "id": "BER.7.2_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Verzeichnis öffentlicher Schlüssel" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Schlüssellängen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "nach {{einem anerkannten Standard}} bei der Schlüsselerzeugung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "zuweisen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Berechtigung SOLLTE die Schlüssellängen nach {{ insert: param, ber.7.2-prm1 }} bei der Schlüsselerzeugung zuweisen." + }, + { + "id": "BER.7.2_gdn", + "name": "guidance", + "prose": "Für die Sicherheit von Schlüsseln wie Passwörter oder PINs ist die Länge von Bedeutung. Für Details siehe BSI TR-02102." + } + ] + }, + { + "id": "BER.7.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Verzeichnis öffentlicher Schlüssel", + "props": [ + { + "name": "alt-identifier", + "value": "1434b374-7b49-427e-a015-82bfffd0d5ea" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Cryptography" + } + ], + "parts": [ + { + "id": "BER.7.3_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Verzeichnis öffentlicher Schlüssel" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "zu jedem öffentlichen Schlüssel die dazugehörige Identität, das Ablaufdatum, den Nutzungszweck, die Schlüsselart und den Algorithmus" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "bei der Schlüsselbeglaubigung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Berechtigung SOLLTE zu jedem öffentlichen Schlüssel die dazugehörige Identität, das Ablaufdatum, den Nutzungszweck, die Schlüsselart und den Algorithmus bei der Schlüsselbeglaubigung dokumentieren." + }, + { + "id": "BER.7.3_gdn", + "name": "guidance", + "prose": "Im Verzeichnis öffentlicher Schlüssel werden die öffentlichen Schlüssel, die von der Institution erzeugt oder eingesetzt werden, aufgelistet. Hiermit werden kryptografische Schlüssel systematisch erfasst und dokumentiert. Zweckmäßig ist es, die Angaben direkt im Schlüssel abzuspeichern." + } + ] + }, + { + "id": "BER.7.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Erzeugung auf sicheren IT-Systemen", + "props": [ + { + "name": "alt-identifier", + "value": "f99e7db6-714a-4fd8-94dd-e27cce24f0a7" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Cryptography" + } + ], + "parts": [ + { + "id": "BER.7.4_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Verwendung eines IT-Systems, welches mindestens dasselbe Schutzniveau bietet, für das der Schlüssel eingesetzt werden soll," + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "bei der Schlüsselerzeugung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Berechtigung SOLLTE die Verwendung eines IT-Systems, welches mindestens dasselbe Schutzniveau bietet, für das der Schlüssel eingesetzt werden soll, bei der Schlüsselerzeugung verankern." + }, + { + "id": "BER.7.4_gdn", + "name": "guidance", + "prose": "Wird ein Schlüssel auf einem System erzeugt, dass einen geringeren Schutz bietet als auf dem späteren Einsatzsystem, dann könnte der Schlüssel bereits kompromittiert sein." + } + ] + }, + { + "id": "BER.7.5", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Kriterien für die Qualität von Zufallszahlen", + "params": [ + { + "id": "ber.7.5-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "426ad852-4455-43a4-b4ff-795ee2caa47b" + } + ], + "label": "Kriterien" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "426ad852-4455-43a4-b4ff-795ee2caa47b" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Cryptography" + } + ], + "parts": [ + { + "id": "BER.7.5_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{Kriterien}} für die Qualität von Zufallszahlen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "bei der Schlüsselerzeugung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Berechtigung SOLLTE {{ insert: param, ber.7.5-prm1 }} für die Qualität von Zufallszahlen bei der Schlüsselerzeugung verankern." + }, + { + "id": "BER.7.5_gdn", + "name": "guidance", + "prose": "Wenn bei der Schlüsselerzeugung ein ungeeigneter Zufallszahlengenerator verwendet wird, könnte ein Angreifer Schlüssel errechnen. Daher sind Kriterien für Zufallszahlengeneratoren zu wählen, z.B. Verwendung etablierter, durch unabängige Dritte geprüfter Zufallszahlengeneratoren. Für Details siehe BSI TR-02102-1. Wichtig ist dabei auch, dass die verwendete Zufallsquelle tatsächlich eine nicht vorhersagbare Zahlenerzeugung erreicht. Inbesondere virtualisierte Systeme könnten ungeeignet sein zur Schlüsselerzeugung, da ihre Zufallszahlenquellen nicht direkt auf Hardwarefunktionen zurückgreifen." + } + ] + }, + { + "id": "BER.7.6", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Etablierte Algorithmen beim Transport", + "props": [ + { + "name": "alt-identifier", + "value": "88e6ce16-583d-40b4-a0cc-8a31bbb8c62c" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Cryptography" + } + ], + "parts": [ + { + "id": "BER.7.6_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die ausschließliche Verwendung etablierter kryptografischer Algorithmen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "beim Transport geheimer Schlüssel" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Berechtigung SOLLTE die ausschließliche Verwendung etablierter kryptografischer Algorithmen beim Transport geheimer Schlüssel verankern." + }, + { + "id": "BER.7.6_gdn", + "name": "guidance", + "prose": "Aktuelle etablierte Algorithmen sind in BSI TR-02102 zu finden. Der Transport kann mit Public Key Cryptography Standards (PKCS), z.B. PKCS#12 Dateiformat erfolgen. Für weitere Details zur Implementierung siehe Detailspezifikation kryptografischer Abläufe und Mechanismen des BSI." + } + ] + }, + { + "id": "BER.7.7", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Kein Transport privater Schlüssel", + "params": [ + { + "id": "ber.7.7-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "c28426cd-d01c-427d-bade-141936177c55" + } + ], + "label": "eine zuständige Person oder Rolle" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "c28426cd-d01c-427d-bade-141936177c55" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Cryptography" + } + ], + "parts": [ + { + "id": "BER.7.7_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "den Export privater Schlüssel" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "durch {{eine zuständige Person oder Rolle}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "autorisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Berechtigung KANN den Export privater Schlüssel durch {{ insert: param, ber.7.7-prm1 }} autorisieren." + }, + { + "id": "BER.7.7_gdn", + "name": "guidance", + "prose": "Im Allgemeinen ist es sinnvoll, private Schlüssel nur dort zu erzeugen, wo sie auch genutzt werden. Andernfalls könnten sie durch den Export kompromittiert werden. Hiervon sind allerdings zahlreiche Ausnahmen denkbar, z.B. zur Schlüsselerzeugung auf besonders abgesicherten Systemen, zum Transport auf Redundanzsysteme oder zur Datensicherung. Daher ist eine Abwägung sinnvoll, ob der Export zu genehmigen ist." + } + ] + }, + { + "id": "BER.7.8", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Etablierte Algorithmen bei der Schlüsselnutzung", + "props": [ + { + "name": "alt-identifier", + "value": "efea2ba5-e5b5-4344-9341-b87340dab114" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Cryptography" + } + ], + "parts": [ + { + "id": "BER.7.8_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die ausschließliche Verwendung etablierter Algorithmen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "bei der Schlüsselnutzung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Berechtigung SOLLTE die ausschließliche Verwendung etablierter Algorithmen bei der Schlüsselnutzung verankern." + }, + { + "id": "BER.7.8_gdn", + "name": "guidance", + "prose": "Aktuelle etablierte Algorithmen sind in BSI TR-02102 zu finden. Für weitere Details zur Implementierung siehe Detailspezifikation kryptografischer Abläufe und Mechanismen des BSI." + } + ] + }, + { + "id": "BER.7.9", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Zweckbindung", + "props": [ + { + "name": "alt-identifier", + "value": "c5ed06a9-b144-43a9-b269-ff914304036a" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Cryptography" + } + ], + "parts": [ + { + "id": "BER.7.9_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Verstöße gegen die Zweckbindung" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "bei der Schlüsselnutzung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "untersagen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Berechtigung SOLLTE Verstöße gegen die Zweckbindung bei der Schlüsselnutzung untersagen." + }, + { + "id": "BER.7.9_gdn", + "name": "guidance", + "prose": "Zweckbindung bedeutet, dass der Schlüssel ausschließlich zu dem im Verzeichnis öffentlicher Schlüssel festgelegten Nutzungszweck verwendet werden darf. Die Zweckbindung gilt insbesondere auch für den privaten Schlüssel." + } + ] + }, + { + "id": "BER.7.10", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Abgelaufene Schlüssel", + "props": [ + { + "name": "alt-identifier", + "value": "f9429a00-a0c2-434c-89d5-cb768d87a192" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "1" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Cryptography" + } + ], + "parts": [ + { + "id": "BER.7.10_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Nutzung des Schlüssels zur Verschlüsselung oder Signierung" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "nach Ablauf der Nutzungszeit" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "untersagen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Berechtigung SOLLTE die Nutzung des Schlüssels zur Verschlüsselung oder Signierung nach Ablauf der Nutzungszeit untersagen." + }, + { + "id": "BER.7.10_gdn", + "name": "guidance", + "prose": "Schlüssel dürfen nach Ablauf der Nutzungszeit nur noch zur Entschlüsselung oder Signaturprüfung alter Daten verwendet werden. Bei automatisierter Schlüsselnutzung ist der Schlüssel zu deaktivieren, bei manueller Schlüsselnutzung ist den Nutzenden weitere Verwendung des Schlüssels zu verbieten." + } + ] + }, + { + "id": "BER.7.11", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Integrität", + "props": [ + { + "name": "alt-identifier", + "value": "3ec4d43b-001d-4911-9adf-707657321030" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "1" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Cryptography" + } + ], + "parts": [ + { + "id": "BER.7.11_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Verifikation der Integrität geheimer Schlüssel" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "vor jeder Nutzung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Berechtigung SOLLTE die Verifikation der Integrität geheimer Schlüssel vor jeder Nutzung verankern." + }, + { + "id": "BER.7.11_gdn", + "name": "guidance", + "prose": "Wird die Integrität von Schlüsseln vor der Verwendung nicht geprüft, so könnte er unbemerkt durch einen Angreifer ausgetauscht werden, wodurch der Angreifer den vermeintlich verschlüsselten Austausch mitlesen. Daher ist ein Integritätsschutz (z.B. eine bekannte Checksumme oder Fingerabdruck) von abgelegten Schlüsseln sinnvoll. Dies kann z.B. durch den Abgleich von Prüfsummen geschehen, welche auf einem anderen IT-System gespeichert sind. Für die Implementierung genügt es, wenn die eingesetzten IT-Produkte bereits so entwickelt oder beschafft worden sind, dass sie die Prüfung automatisiert durchführen." + } + ] + }, + { + "id": "BER.7.12", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Authentizität", + "props": [ + { + "name": "alt-identifier", + "value": "4e4a2385-0cb0-4bb4-938f-a47b96b6f819" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Cryptography" + } + ], + "parts": [ + { + "id": "BER.7.12_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Verifikation der Authentizität öffentlicher Schlüssel" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "vor jeder Nutzung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Berechtigung SOLLTE die Verifikation der Authentizität öffentlicher Schlüssel vor jeder Nutzung verankern." + }, + { + "id": "BER.7.12_gdn", + "name": "guidance", + "prose": "Für die Implementierung genügt es, wenn die eingesetzten IT-Produkte bereits so entwickelt oder beschafft worden sind, dass sie die Prüfung automatisiert durchführen." + } + ] + }, + { + "id": "BER.7.13", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Gültigkeit", + "props": [ + { + "name": "alt-identifier", + "value": "792bc79a-4114-461d-bc6e-3e16ee8069c4" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "1" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Cryptography" + } + ], + "parts": [ + { + "id": "BER.7.13_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Verifikation der Gültigkeit des Schlüssels" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "vor jeder Nutzung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Berechtigung SOLLTE die Verifikation der Gültigkeit des Schlüssels vor jeder Nutzung verankern." + }, + { + "id": "BER.7.13_gdn", + "name": "guidance", + "prose": "Die Gültigkeit ergibt sich aus Nutzungszeit und Revocation-Status. Für die Implementierung genügt es, wenn die eingesetzten IT-Produkte bereits so entwickelt oder beschafft worden sind, dass sie die Prüfung automatisiert durchführen." + } + ] + }, + { + "id": "BER.7.14", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Schlüssel vor Ablauf prüfen", + "params": [ + { + "id": "ber.7.14-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "681822fa-f526-4580-9436-7c7d4c94edf3" + } + ], + "label": "regelmäßig" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "681822fa-f526-4580-9436-7c7d4c94edf3" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Cryptography" + } + ], + "parts": [ + { + "id": "BER.7.14_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Verzeichnis öffentlicher Schlüssel" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Schlüssel auf das baldige Auslaufen der Nutzungszeit" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{regelmäßig}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überprüfen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Berechtigung SOLLTE Schlüssel auf das baldige Auslaufen der Nutzungszeit {{ insert: param, ber.7.14-prm1 }} überprüfen." + }, + { + "id": "BER.7.14_gdn", + "name": "guidance", + "prose": "Wird die Gültigkeit von Schlüsseln vor dem Auslaufen nicht überwacht, so könnten Schlüssel ungültig werden, wodurch Schnittstellen oder Anwendungen plötzlich nicht mehr verfügbar sein könnten. Läuft ein Schlüssel bald ab, obwohl der Zweck weiterhin bestehen bleibt, so ist es sinnvoll den Schlüssel rechtzeitig durch einen neuen zu ersetzen. Hierbei ist zu beachten, dass bei Schlüsselwechsel verschlüsselte Daten entschlüsselt und erneut verschlüsselt werden." + } + ] + }, + { + "id": "BER.7.15", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Vorgehensweise nach Nutzung", + "props": [ + { + "name": "alt-identifier", + "value": "4eb39607-cb0f-4dac-8a4c-5637fe5f3ab3" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Cryptography" + } + ], + "links": [ + { + "href": "#ASST.7.3.2", + "rel": "related" + } + ], + "parts": [ + { + "id": "BER.7.15_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Verzeichnis öffentlicher Schlüssel" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine Vorgehensweise zur Außerbetriebnahme geheimer Schlüssel" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": ", sobald sie nicht mehr benötigt werden," + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Berechtigung SOLLTE eine Vorgehensweise zur Außerbetriebnahme geheimer Schlüssel , sobald sie nicht mehr benötigt werden, verankern." + }, + { + "id": "BER.7.15_gdn", + "name": "guidance", + "prose": "Werden Schlüssen nicht mehr benötigt, so ist es sinnvoll diese im Einklang mit den Anforderungen zur Löschung von Informationen außer Betrieb zu nehmen. Hierbei ist zu beachten, dass bei einem Schlüsselwechsel verschlüsselte Daten entschlüsselt und erneut verschlüsselt werden. Flüchtige Schlüssel sind nach der Sitzung umgehend zu löschen." + } + ] + }, + { + "id": "BER.7.16", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Vorgaben für die Schlüsselbeglaubigung", + "props": [ + { + "name": "alt-identifier", + "value": "38cae0e5-8758-426c-b02f-07e7d585c475" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Cryptography" + } + ], + "parts": [ + { + "id": "BER.7.16_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Vorgaben für die Schlüsselbeglaubigung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Berechtigung SOLLTE Vorgaben für die Schlüsselbeglaubigung verankern." + }, + { + "id": "BER.7.16_gdn", + "name": "guidance", + "prose": "Je nach Umfang der Beglaubigungstätigkeit gehören hierzu z.B. Algorithmen, Zweckbindung, Nutzungsdauer, sowie prozessuale Vorgaben für Speicherung, Beantragung, Revocation, Erneuerung und Verfügbarkeit. Für Details siehe IETF RFC 3647." + } + ], + "controls": [ + { + "id": "BER.7.16.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Zertifizierungsstelle", + "params": [ + { + "id": "ber.7.16.1-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "7b80290b-5c6d-4e39-857c-0a63a8e2543a" + } + ], + "label": "einer zuständigen Person oder Rolle" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "7b80290b-5c6d-4e39-857c-0a63a8e2543a" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Cryptography" + } + ], + "parts": [ + { + "id": "BER.7.16.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Beglaubigung von Schlüsseln" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{einer zuständigen Person oder Rolle}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "zuweisen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Berechtigung SOLLTE die Beglaubigung von Schlüsseln {{ insert: param, ber.7.16.1-prm1 }} zuweisen." + }, + { + "id": "BER.7.16.1_gdn", + "name": "guidance", + "prose": "Die Beglaubigung von Schlüsseln ist technisch komplex. Gleichzeitig hängt von ihr die Vertrauensstellung von Systemen und Anwendungen im Informationsverbund ab. Daher ist es sinnvoll diese Aufgabe konkret bestimmten Personen oder Rollen zuzuweisen." + } + ] + }, + { + "id": "BER.7.16.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Beglaubigung", + "props": [ + { + "name": "alt-identifier", + "value": "921cdb15-bf12-4a04-98f0-3bb7af3628d6" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Cryptography" + } + ], + "links": [ + { + "href": "#BER.7.16", + "rel": "required" + } + ], + "parts": [ + { + "id": "BER.7.16.2_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "den Schlüssel anhand der Vorgaben für die Schlüsselbeglaubigung" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "bei Beantragung einer Beglaubigung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "testen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Berechtigung SOLLTE den Schlüssel anhand der Vorgaben für die Schlüsselbeglaubigung bei Beantragung einer Beglaubigung testen." + }, + { + "id": "BER.7.16.2_gdn", + "name": "guidance", + "prose": "Schlüsselbeglaubigung (engl. key certification) ist der kryptographische Nachweis, dass ein kryptographischer Schlüssel echt, unverändert und einer berechtigten Identität eindeutig zugeordnet ist. Der Schlüsseltest vor der Beglaubigung dient dazu, sicherzustellen, dass der einzureichende Schlüssel die festgelegten technischen und organisatorischen Vorgaben für die Genehmigung der Beglaubigung erfüllt – etwa hinsichtlich Schlüssellänge, Algorithmuskompatibilität oder Integrität der Schlüsseldaten. Solche Prüfungen können die korrekte Formatierung, die Funktionsfähigkeit innerhalb der vorgesehenen Kryptosysteme sowie den Abgleich mit vertrauenswürdigen Referenzen umfassen. Ziel ist die Gewährleistung, dass keine fehlerhaften, kompromittierten oder absichtlich manipulierten Schlüssel in eine Vertrauenskette eingebracht werden. Diese Vorgabe kann das Risiko reduzieren, dass fehlerhafte oder bösartig erzeugte Schlüssel zu einer Täuschung über die Identität oder zu unbemerkten Datenmanipulationen führen könnte. Ebenso kann sie verhindern, dass ein unzureichend geprüfter Schlüssel später als gültig angesehen wird, obwohl er kompromittiert ist. Eine konsequente Umsetzung kann die Integrität kryptographischer Infrastrukturen stärken und die Vertrauenswürdigkeit digitaler Signaturen, Authentifizierungen und Verschlüsselungsprozesse sichern. In der Praxis kann dies etwa durch automatisierte Validierungsroutinen in einer Public-Key-Infrastruktur (PKI), durch den Einsatz spezialisierter HSM-Testwerkzeuge oder durch manuelle Prüfung anhand festgelegter Zertifizierungsrichtlinien erfolgen." + } + ] + }, + { + "id": "BER.7.16.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Erneuerung", + "props": [ + { + "name": "alt-identifier", + "value": "40d229bb-6fab-4a1a-a96a-a2a119acef5f" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Cryptography" + } + ], + "links": [ + { + "href": "#BER.7.16", + "rel": "required" + } + ], + "parts": [ + { + "id": "BER.7.16.3_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "den Schlüssel anhand der Vorgaben für die Schlüsselbeglaubigung" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "bei Erneuerung einer Beglaubigung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "testen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Berechtigung SOLLTE den Schlüssel anhand der Vorgaben für die Schlüsselbeglaubigung bei Erneuerung einer Beglaubigung testen." + }, + { + "id": "BER.7.16.3_gdn", + "name": "guidance", + "prose": "Die Erneuerung einer Beglaubigung beschreibt den Vorgang, bei dem ein ablaufendes oder gefährdetes Zertifikat durch ein neues ersetzt wird, wobei die Vertrauenskette erhalten bleibt. Dazu wird geprüft, ob die Vorgaben für die Erneuerung der Beglaubigung erfüllt sind. Das Testen des Schlüssels im Rahmen der Erneuerung dient dazu, die fortgesetzte Vertrauenswürdigkeit und Funktionsfähigkeit des Schlüssels sicherzustellen, etwa durch Verifikation der Signatur, Abgleich der Fingerprints oder Validierung gegen Sperrlisten. Der Zweck dieser Anforderung liegt in der Sicherstellung, dass bei der Erneuerung eines Zertifikats keine kompromittierten, fehlerhaften oder unautorisierten Schlüssel weiterverwendet werden. Wird die Schlüsselprüfung unterlassen, könnte ein Angreifer manipulierte oder gefälschte Schlüssel einschleusen, was zu unbemerktem Datenabgriff, Identitätsmissbrauch oder Integritätsverlust führen könnte. Eine wirksame Prüfung kann dagegen sicherstellen, dass nur überprüfte und gültige Schlüssel erneut beglaubigt werden, wodurch das Vertrauensniveau der gesamten kryptographischen Infrastruktur stabil bleibt. Sinnvolle Umsetzungsvarianten können z. B. die Nutzung automatisierter Schlüsselvalidierungen in Public-Key-Infrastrukturen (PKI), der Einsatz von Hardware-Sicherheitsmodulen (HSM) für die Signaturprüfung oder der Abgleich über Transparenzregister wie Certificate Transparency Logs sein." + } + ] + }, + { + "id": "BER.7.16.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Revocation", + "props": [ + { + "name": "alt-identifier", + "value": "0e70f6df-b9c4-4046-871a-5e4d1263fb9f" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Cryptography" + } + ], + "links": [ + { + "href": "#BER.7.16", + "rel": "required" + } + ], + "parts": [ + { + "id": "BER.7.16.4_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "den Schlüssel anhand der Vorgaben für die Schlüsselbeglaubigung" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "bei Revocation einer Beglaubigung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "testen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Berechtigung SOLLTE den Schlüssel anhand der Vorgaben für die Schlüsselbeglaubigung bei Revocation einer Beglaubigung testen." + }, + { + "id": "BER.7.16.4_gdn", + "name": "guidance", + "prose": "Die Revocation einer Beglaubigung (engl. revocation of attestation) ist die nachträgliche Ungültigerklärung einer solchen Bestätigung, beispielsweise durch Sperrung eines Zertifikats mittels Certificate Revocation List (CRL) oder Online Certificate Status Protocol (OCSP). Das Testen des Schlüssels anhand der Vorgaben für die Schlüsselbeglaubigung bedeutet hier, dass geprüft wird, ob die festgelegten Vorgaben für die Revocation erfüllt sind. Damit wird sichergestellt, dass der Widerruf einer Beglaubigung nur bei Vorliegen der Voraussetzungen angestoßen wird und dann technisch und organisatorisch korrekt umgesetzt und im Systemverhalten nachvollziehbar berücksichtigt wird, etwa durch sofortige Ungültigkeitserklärung oder Sperrung des betreffenden Schlüssels. Der Zweck dieser Vorgabe liegt darin, unzulässige oder verfrühte Revocations ebenso zu vermeiden wie verspätete oder unvollständige Umsetzungen, die zu Sicherheitslücken führen könnten. Wird die Prüfung der Revocation-Vorgaben fehlerhaft oder unvollständig durchgeführt, könnte ein gültiger Schlüssel fälschlich gesperrt werden oder ein tatsächlich kompromittierter Schlüssel weiter im Einsatz bleiben. Eine konsequente Umsetzung kann dagegen gewährleisten, dass der Widerruf von Beglaubigungen nur im vorgesehenen Rahmen erfolgt, die Integrität des Vertrauensmodells erhalten bleibt und alle abhängigen Systeme den neuen Status korrekt übernehmen. Praktisch kann dies durch automatisierte Regelprüfungen in Zertifikatsverwaltungsdiensten, durch Ereignisprotokollierung in Key Management Services (KMS) oder durch Hardware-Sicherheitsmodule (HSM) umgesetzt werden, die Revocation-Bedingungen strikt validieren, bevor Änderungen am Schlüsselstatus ausgeführt werden." + } + ] + }, + { + "id": "BER.7.16.5", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Beglaubigungsstatus", + "props": [ + { + "name": "alt-identifier", + "value": "3f4e22f4-f99f-46fc-91c8-d9faad3cedcc" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Cryptography" + } + ], + "links": [ + { + "href": "#BER.7.3", + "rel": "required" + } + ], + "parts": [ + { + "id": "BER.7.16.5_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Verzeichnis öffentlicher Schlüssel" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "den Beglaubigungsstatus des Schlüssels im Verzeichnis öffentlicher Schlüssel" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Berechtigung SOLLTE den Beglaubigungsstatus des Schlüssels im Verzeichnis öffentlicher Schlüssel dokumentieren." + }, + { + "id": "BER.7.16.5_gdn", + "name": "guidance", + "prose": "Der Beglaubigungsstatus erfasst, ob der Schlüssel von der Beglaubigungs- oder Zertifizierungsstelle der Institution beglaubigt wurde." + } + ] + }, + { + "id": "BER.7.16.6", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Revocationstatus", + "props": [ + { + "name": "alt-identifier", + "value": "7d843f5e-e393-4f0b-a72c-0c3de4936859" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Cryptography" + } + ], + "links": [ + { + "href": "#BER.7.3", + "rel": "required" + } + ], + "parts": [ + { + "id": "BER.7.16.6_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Verzeichnis öffentlicher Schlüssel" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "den Revocationstatus des Schlüssels im Verzeichnis öffentlicher Schlüssel" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Berechtigung SOLLTE den Revocationstatus des Schlüssels im Verzeichnis öffentlicher Schlüssel dokumentieren." + }, + { + "id": "BER.7.16.6_gdn", + "name": "guidance", + "prose": "Der Revocationsstatus des Schlüsseln erfasst, ob der Schlüssel zurückgezogen wurde, etwa weil er aufgrund einer Kompromittierung nicht mehr sicher verwendet werden kann." + } + ] + } + ] + } + ] + } + ] + }, + { + "id": "NOT", + "title": "Notfallplanung", + "props": [ + { + "name": "label", + "value": "NOT", + "remarks": "Die Notfallplanung stellt sicher, dass bei schwerwiegenden Störungen oder Krisen schnell und koordiniert reagiert wird, um den Fortbestand kritischer Geschäftsprozesse und die Wiederherstellung der betroffenen Systeme zu gewährleisten. Notfallplanung adressiert umfassende Notfälle und Krisensituationen, während die Sicherheitsvorfallbehandlung spezifisch auf Informationssicherheitsvorfälle fokussiert ist. Notfallmanagement ist strategisch und organisatorisch umfassender, während die Vorfallbehandlung auf operative Sicherheitsprobleme eingeht." + }, + { + "name": "alt-identifier", + "value": "723219b0-d58a-432d-bce2-2bf16c5874ae" + } + ], + "groups": [ + { + "id": "NOT.1", + "title": "Grundlagen", + "props": [ + { + "name": "label", + "value": "1" + }, + { + "name": "alt-identifier", + "value": "94bfadab-43f6-48d7-ac5e-49b8fbcf2794" + } + ], + "controls": [ + { + "id": "NOT.1.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Verfahren und Regelungen", + "props": [ + { + "name": "alt-identifier", + "value": "4ae6245b-7608-4c82-94ca-6d8c4678d41f" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "NOT.1.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "BC-Leitlinie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Verfahren und Regelungen zur Vorsorge für Notfälle der Informationssicherheit" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Notfallplanung MUSS Verfahren und Regelungen zur Vorsorge für Notfälle der Informationssicherheit verankern." + }, + { + "id": "NOT.1.1_gdn", + "name": "guidance", + "prose": "Für ein Managementsystem der Informationssicherheit ist es erforderlich, dass auch für Notfälle vorgesorgt wird, z.B. durch eine Datensicherung, so dass bei einer Naturkatastrophe wichtige Daten wiederhergestellt werden können. Dies kann durch den Aufbau eines dafür vorgesehenen Managementsystems (BCMS) oder die Umsetzung der einzelnen Anforderungen dieser Praktik geschehen. Die bei der Festlegung des Verfahrens im Einzelnen zu berücksichtigenden Inhalte, die bei der Festlegung des Verfahrens zu berücksichtigen sind, ergeben sich aus den Anforderungen dieser Praktik. Es empfiehlt sich ebenfalls Wiederherstellungsmöglichkeiten und Alternativen für administrative Zugänge zu betrachten." + } + ], + "controls": [ + { + "id": "NOT.1.1.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Dokumentation", + "props": [ + { + "name": "alt-identifier", + "value": "2bd99490-8b1e-46bc-8c4a-e9069b61818a" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "NOT.1.1.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Verfahren und Regelungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Notfallplanung MUSS die Verfahren und Regelungen dokumentieren." + }, + { + "id": "NOT.1.1.1_gdn", + "name": "guidance", + "prose": "Ohne eine Dokumentation könnte die Einhaltung der Verfahren und Regelungen von der Tagesform oder dem individuellen Wissen einzelner Mitarbeiter abhängen, was zu inkonsistenten Entscheidungen und Fehlern führen könnte; insbesondere beim Ausscheiden eines langjährigen Administrators könnte wertvolles prozessuales Wissen verloren gehen. Eine klare Dokumentation sichert die Verbindlichkeit und Wiederholbarkeit und dient als unverzichtbare Grundlage für die Einarbeitung neuer Kollegen, für die Durchführung von Audits und zur einheitlichen Anwendung der Regeln in der gesamten Institution. Die Dokumentation kann in einem eigenständigen Dokument als Richtlinie erfolgen, aber auch als Abschnitt in einem bereits bestehenden Dokument oder über die digital strukturiere Erfassung von Maßnahmen zur Umsetzung der Anforderungen, etwa über eine Software zum Management der Informationssicherheit. Sinnvoll ist es Ort und Struktur der Dokumentation an der jeweiligen Zielgruppe, d.h. den für das Management und die Umsetzung verantwortlichen Personen oder Rollen, auszurichten." + } + ] + }, + { + "id": "NOT.1.1.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Zuweisung der Aufgaben", + "params": [ + { + "id": "not.1.1.2-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "1077ed85-d0a3-462b-b8fd-107a050b0538" + } + ], + "label": "zuständigen Personen oder Rollen" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "1077ed85-d0a3-462b-b8fd-107a050b0538" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "NOT.1.1.2_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Geschäftsverteilungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die mit den Verfahren und Regelungen verbundenen Aufgaben" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{zuständigen Personen oder Rollen}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "zuweisen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Notfallplanung MUSS die mit den Verfahren und Regelungen verbundenen Aufgaben {{ insert: param, not.1.1.2-prm1 }} zuweisen." + }, + { + "id": "NOT.1.1.2_gdn", + "name": "guidance", + "prose": "Die Zuweisung von Aufgaben bezeichnet die eindeutige und verbindliche Übertragung von konkreten Tätigkeiten und Verantwortlichkeiten des Änderungsprozesses, wie etwa die Risikobewertung, die technische Umsetzung oder die finale Freigabe, an definierte Stellen in der Institution. Der Sinn dieser Vorschrift ist es, die Verantwortlichkeit (\"Accountability\") für jeden einzelnen Schritt im Prozess klarzustellen. Ohne eine solche Zuweisung könnten kritische Prüfungen unterbleiben, weil sich niemand explizit zuständig fühlt, was wiederum die Wahrscheinlichkeit fehlgeschlagener Änderungen erhöht. Eine klare Regelung kann sicherstellen, dass keine Aufgaben übersehen werden und jede Tätigkeit von einer dafür qualifizierten und befugten Stelle ausgeführt wird, was die Prozesssicherheit signifikant erhöht. Eine bewährte Methode zur Umsetzung ist die Erstellung einer RACI-Matrix (Responsible, Accountable, Consulted, Informed), die tabellarisch für jeden Prozessschritt darstellt, wer für die Durchführung verantwortlich ist, wer die Gesamtverantwortung trägt, wer zu konsultieren und wer zu informieren ist. Diese Zuständigkeiten können auch direkt in einem Workflow- oder Ticketsystem abgebildet werden, so dass Aufgaben, wie beispielsweise Genehmigungsschritte, automatisch an die richtige Gruppe oder Person weitergeleitet werden. Sinnvoll ist es die Zuweisung anhand von Rollen (z.B. \"Anwendungsverantwortlicher\", \"Netzwerkadministrator\", \"Change Manager\") vorzunehmen, statt an konkrete Personen. Dieser Ansatz stellt sicher, dass die Prozesse auch bei Personalwechseln stabil weiterlaufen, da die Zuständigkeit an die Funktion und nicht an das Individuum gebunden ist." + } + ] + }, + { + "id": "NOT.1.1.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Bekanntgabe", + "props": [ + { + "name": "alt-identifier", + "value": "49ceb0bc-d0bb-42c4-a664-afec3db5de06" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "NOT.1.1.3_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die zuständigen Personen oder Rollen über die Verfahren und Regelungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "informieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Notfallplanung MUSS die zuständigen Personen oder Rollen über die Verfahren und Regelungen informieren." + }, + { + "id": "NOT.1.1.3_gdn", + "name": "guidance", + "prose": "Wenn die Zuständigen die etablierten Verfahren nicht kennen, besteht die Gefahr, dass diese – sei es aus Unwissenheit oder Bequemlichkeit – umgangen werden, was die Schutzwirkung des gesamten Managementsystems untergräbt. So könnte ein neuer Systemadministrator eine weitreichende Konfigurationsänderung vornehmen, ohne den vorgeschriebenen Genehmigungsprozess zu durchlaufen, was zu einem unbemerkten Sicherheitsrisiko führen könnte. Eine gezielte Information kann hingegen die Akzeptanz der Regelungen fördern und sicherstellen, dass alle Beteiligten ihre Rolle im Prozess verstehen und die Abläufe korrekt anwenden. Zur Umsetzung ist es sinnvoll die Dokumentation im Rahmen eines Onboarding-Prozesses bekanntzugeben und bei allen Änderungen eine automtatische Benachrichtigung aller zuständigen Personen oder Rollen anzustoßen." + } + ] + }, + { + "id": "NOT.1.1.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Business Continuity Management System", + "params": [ + { + "id": "not.1.1.4-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "9cfedbf2-6dc8-4ca5-8d93-26610884e3b7" + } + ], + "label": "BSI-Standard 200-4", + "values": [ + "BSI-Standard 200-4" + ] + }, + { + "id": "not.1.1.4-prm2", + "props": [ + { + "name": "alt-identifier", + "value": "9cfedbf2-6dc8-4ca5-8d93-26610884e3b7" + } + ], + "label": "einem anerkannten BCM-Standard" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "9cfedbf2-6dc8-4ca5-8d93-26610884e3b7" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "parts": [ + { + "id": "NOT.1.1.4_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "BC-Leitlinie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "ein {{Reaktiv-, Aufbau- oder Standard-}}BCMS nach {{einem anerkannten BCM-Standard}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Notfallplanung KANN ein {{ insert: param, not.1.1.4-prm1 }}BCMS nach {{ insert: param, not.1.1.4-prm2 }} verankern." + }, + { + "id": "NOT.1.1.4_gdn", + "name": "guidance", + "prose": "BCMS steht für Business Continuity Management System, ein Management-System, das Institutionen dabei hilft, die Kontinuität ihrer Geschäftsprozesse bei Störungen oder Krisen sicherzustellen. Es umfasst die Planung, Umsetzung und kontinuierliche Verbesserung von Strategien und Verfahren, um die Resilienz der Institution zu erhöhen und Ausfallzeiten zu minimieren. Beispiele sind der BSI-Standard 200-4 oder die DIN ISO/IEC 22301. Idealerweise werden die Anforderungen der Praktik Notfallplanung durch ein BCMS erbracht. Wenn ein BCMS aufgebaut wird, können die Anforderungen dieser Praktik in das BCMS integriert erfüllt werden. Das BSI empfiehlt dazu in einem ersten Schritt ein Reaktiv-BCMS aufzubauen und mit steigendem Reifegrad ein Standard-BCMS über die Zwischenstufe Aufbau-BCMS anzustreben. Nähere Informationen können dem BSI-Standard 200-4 Kapitel 2.6 BCMS-Stufenmodell (Reaktiv-, Aufbau- und Standard-BCMS) entnommen werden." + } + ] + } + ] + }, + { + "id": "NOT.1.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Regelmäßige Überprüfung", + "params": [ + { + "id": "not.1.2-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "e7154319-da30-43a0-8b6c-754a1c6c54e3" + } + ], + "label": "regelmäßig" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "e7154319-da30-43a0-8b6c-754a1c6c54e3" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "NOT.1.2_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Übungs- und Prüfplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Verfahren und Regelungen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{regelmäßig}} und anlassbezogen auf Aktualität" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überprüfen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Notfallplanung MUSS die Verfahren und Regelungen {{ insert: param, not.1.2-prm1 }} und anlassbezogen auf Aktualität überprüfen." + }, + { + "id": "NOT.1.2_gdn", + "name": "guidance", + "prose": "Eine geplante der etablierten Verfahren und Regelungen dient dazu festzustellen, ob diese noch wirksam, effizient und an die aktuellen Gegebenheiten angepasst sind. Eine anlassbezogene Überprüfung wird durch spezifische Ereignisse ausgelöst, wie etwa einen schwerwiegenden Sicherheitsvorfall, eine strategische Neuausrichtung der IT oder neue gesetzliche Anforderungen. Der Zweck dieser Anforderung ist es, die kontinuierliche Verbesserung und Anpassungsfähigkeit des Prozesses sicherzustellen, da veraltete Regelungen neuen technologischen Entwicklungen oder Bedrohungen nicht mehr gerecht werden könnten; ein vor Jahren für monolithische Anwendungen konzipierter Prozess ist beispielsweise für agile Entwicklungsmethoden oder Microservice-Architekturen ungeeignet. Die regelmäßige Überprüfung kann die Effektivität des Sicherheitsmanagements langfristig aufrechterhalten und die Resilienz der Institution stärken." + } + ] + } + ] + }, + { + "id": "NOT.2", + "title": "Besondere Aufbauorganisation", + "props": [ + { + "name": "label", + "value": "2" + }, + { + "name": "alt-identifier", + "value": "731579c3-e8bb-4b11-b40a-74303d8bbb6e" + } + ], + "controls": [ + { + "id": "NOT.2.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Verfahren und Regelungen", + "props": [ + { + "name": "alt-identifier", + "value": "7af5bb1b-6d06-443e-8db2-db99e758f03a" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + } + ], + "parts": [ + { + "id": "NOT.2.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Notfallhandbuch" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Verfahren und Regelungen für eine Besondere Aufbauorganisation (BAO) zur Behandlung von Notfällen und Krisen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Notfallplanung SOLLTE Verfahren und Regelungen für eine Besondere Aufbauorganisation (BAO) zur Behandlung von Notfällen und Krisen verankern." + }, + { + "id": "NOT.2.1_gdn", + "name": "guidance", + "prose": "Eine BAO ermöglicht, in Notfällen und Krisen schnellstmöglich auf das Schadensereignis zu reagieren. Eine BAO gehört zu den originären Aufgaben eines BCMS und SOLL von diesem etabliert werden. Wird bzw. wurde ein BCMS nach BSI-Standard 200-4 aufgebaut (unabhängig von der Stufe), so sind die BAO-betreffenden Anforderungen in der Regel erfüllt und werden im Rahmen des BCMS anhand des BSI-Standards 200-4 detaillierter definiert. Nähere Informationen können dem BSI-Standard 200-4 in Kapitel 5 Aufbau und Befähigung der BAO (R+AS) entnommen werden. Die einzelnen Regelungen können den untergliederten Anforderungen entnommen werden." + } + ], + "controls": [ + { + "id": "NOT.2.1.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Rollen", + "params": [ + { + "id": "not.2.1.1-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "d7b3f904-e7a2-4c80-a739-b41b28e86d7d" + } + ], + "label": "zuständigen Personen oder Rollen" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "d7b3f904-e7a2-4c80-a739-b41b28e86d7d" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + } + ], + "parts": [ + { + "id": "NOT.2.1.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Notfallhandbuch" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Aufgaben für die BAO" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "einschließlich BAO-Stab und Notfallteams {{zuständigen Personen oder Rollen}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "zuweisen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Notfallplanung SOLLTE Aufgaben für die BAO einschließlich BAO-Stab und Notfallteams {{ insert: param, not.2.1.1-prm1 }} zuweisen." + }, + { + "id": "NOT.2.1.1_gdn", + "name": "guidance", + "prose": "Die BAO besteht in der Regel aus einem Stab, der die Koordination und Entscheidungsfindung in einem Schadensereignis übernimmt. Der Stab koordiniert ferner die Tätigkeiten der Notfallteams, die die ausgefallenen Ressourcen wieder anlaufen lassen (= in einen Notbetrieb bereitstellen) und die zeitkritischen Geschäftsprozesse in einem Notbetrieb durchführen und bearbeiten. Nähere Informationen können dem BSI-Standard 200-4 in Kapitel 5.1 Aufbau der BAO (R+AS) entnommen werden." + } + ] + }, + { + "id": "NOT.2.1.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Alarmierung", + "props": [ + { + "name": "alt-identifier", + "value": "f4ae1960-680b-4ebe-8b71-3f88f7b841fc" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + } + ], + "parts": [ + { + "id": "NOT.2.1.2_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Notfallhandbuch" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Alarmierung der BAO" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Notfallplanung SOLLTE die Alarmierung der BAO verankern." + }, + { + "id": "NOT.2.1.2_gdn", + "name": "guidance", + "prose": "In einem Schadensereignis ist es entscheidend, dass die BAO schnellstmöglich alarmiert wird und somit auch schnellstmöglich Entscheidungen treffen kann. Hierzu bedarf es entsprechender vorab vorbereiteter Alarmierungspfade bzw. Pläne. Diese legen fest, wer die BAO (typischerweise zuerst den Stab und anschließend passende Teams) anhand welcher Kriterien alarmieren kann. In der Praxis haben sich hier abgestufte Verfahren etabliert, die anhand von gezielten Fragen eine Vorfilterung ermöglichen. Nähere Informationen hierzu können dem BSI-Standard 200-4 Kapitel 5.2 Detektion, Alarmierung und Eskalation (R+AS) entnommen werden." + } + ] + }, + { + "id": "NOT.2.1.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Stabsraum", + "props": [ + { + "name": "alt-identifier", + "value": "35391782-f6dc-4eee-b673-bf893500d8b2" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "parts": [ + { + "id": "NOT.2.1.3_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Notfallhandbuch" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "einen Stabsraum für den Stab" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "installieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Notfallplanung KANN einen Stabsraum für den Stab installieren." + }, + { + "id": "NOT.2.1.3_gdn", + "name": "guidance", + "prose": "Damit der Stab der BAO im Schadensereignis handlungsfähig ist, benötigt er einen Stabsraum. Der Stabsraum kann ein Raum vor Ort oder eine virtuelle Arbeitsumgebung sein. Nähere Informationen können dem BSI-Standard 200-4 Kapitel 5.6.3 Festlegung eines Stabsraums (R+AS) entnommen werden." + } + ] + }, + { + "id": "NOT.2.1.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Stabsübung", + "params": [ + { + "id": "not.2.1.4-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "c733baed-3cf9-4752-8121-354766e49ab0" + } + ], + "label": "regelmäßig" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "c733baed-3cf9-4752-8121-354766e49ab0" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "parts": [ + { + "id": "NOT.2.1.4_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Notfallhandbuch" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Funktionsfähigkeit der BAO" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{regelmäßig}} durch Stabsübungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überprüfen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Notfallplanung KANN die Funktionsfähigkeit der BAO {{ insert: param, not.2.1.4-prm1 }} durch Stabsübungen überprüfen." + }, + { + "id": "NOT.2.1.4_gdn", + "name": "guidance", + "prose": "Da Notfälle nur selten vorkommen, die tatsächliche Funktionstüchtigkeit der BAO dann aber von großer Bedeutung für die Informationssicherheit ist, sind regelmäßige Übungen der BAO sinnvoll. Insbesondere die festgelegte Stabsstruktur (Aufgaben und Rollen), sowie das Funktionieren der Ausstattung sind im Ernstfall von großer Bedeutung. Zur Erprobung ist es zweckmäßig bei jeder Übung typische Szenarien im vollständig besetzten Stab durchzuführen und Notfallteams nur je nach passendem Szenario in die Übung einzubeziehen. Ist eine BAO erst aufgebaut worden, genügen für die Stabsübung in der Regel relativ simple Übungsszenarien wie ein Brand im Rechenzentrum oder ein Ransomware-Vorfall. Mit wachsendem Reifegrad der BAO kann anschließend die Komplexität und Realitätsnähe der Übung steigen. Nähere Informationen können dem BSI-Standard 200-4 Kapitel 13.6 Stabsübung (R+AS) entnommen werden." + } + ] + } + ] + } + ] + }, + { + "id": "NOT.3", + "title": "Notfallvorsorge", + "props": [ + { + "name": "label", + "value": "3" + }, + { + "name": "alt-identifier", + "value": "08f29ac1-3394-435b-8e19-2af18b6cbdfa" + } + ], + "controls": [ + { + "id": "NOT.3.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Wiederanlaufplan", + "props": [ + { + "name": "alt-identifier", + "value": "cf62902b-ea95-4721-a4be-e58a8a98d0bc" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + } + ], + "parts": [ + { + "id": "NOT.3.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Notfallhandbuch" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "einen Wiederanlaufplan für zeitkritische Systeme und Anwendungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Notfallplanung SOLLTE einen Wiederanlaufplan für zeitkritische Systeme und Anwendungen dokumentieren." + }, + { + "id": "NOT.3.1_gdn", + "name": "guidance", + "prose": "Ein Wiederanlaufplan legt fest, wie eine ausgefallene (IT)-Ressource auf ein vorgesehenes Notbetriebsniveau innerhalb einer Wiederanlaufzeit durch Notfallteams zur Verfügung gestellt wird. Besteht ein BCMS, dann werden die zeitkritischen Ressourcen innerhalb der Business Impact Analyse identifiziert und in dieser entsprechende Wiederanlaufzeiten festgelegt. Die ausgewählten BC-Strategien des BCMS bieten ferner den Rahmen für die Wiederanlaufplanung. Besteht kein BCMS, dann können die zeitkritischen IT-Ressourcen anhand der Schutzbedarfsfeststellung (erhöhter Schutzbedarf in der Verfügbarkeit) identifiziert werden. Die Wiederanlaufzeit kann dann nur grob anhand der Ergebnisse der Schutzbedarfsfeststellung geschätzt werden. Nähere Informationen können dem BSI-Standard 200-4 Kapitel 12 Wiederanlauf- und Wiederherstellungsplanung (AS) entnommen werden." + } + ] + }, + { + "id": "NOT.3.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Geschäftsfortführungsplan", + "props": [ + { + "name": "alt-identifier", + "value": "8bc54377-0002-4533-bbdd-44777e4f5d2f" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "parts": [ + { + "id": "NOT.3.2_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Notfallhandbuch" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "einen Geschäftsfortführungsplan für zeitkritische Geschäftsprozesse" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Notfallplanung KANN einen Geschäftsfortführungsplan für zeitkritische Geschäftsprozesse dokumentieren." + }, + { + "id": "NOT.3.2_gdn", + "name": "guidance", + "prose": "Ein Geschäftsfortführungsplan (GFP) legt fest, wie ein Geschäftsprozess in einem Notfall in einem Notbetrieb durchgeführt wird. Der Notbetrieb weicht in der Regel vom Normalbetrieb ab, z.B. indem ein geringes Geschäftsniveau (Notbetriebsniveau) angesetzt wird und/oder abweichende Ressourcen eingesetzt werden. Abweichende Ressourcen könnten darin bestehen, dass ein zuvor digital unterstützter Prozess wieder analog durchgeführt wird. Geschäftsfortführungspläne liegen in der grundlegenden Verantwortung eines BCMS und sind daher im Rahmen des ISMS nur optional. Die Ausgestaltung, Planung und näheren Anforderungen der Geschäftsfortführung werden in der Regel im Rahmen des BCMS durchgeführt. Nähere Informationen können dem BSI-Standard 200-4 Kapitel 11 Geschäftsfortführungsplanung (R+AS) entnommen werden." + } + ] + }, + { + "id": "NOT.3.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Sensibilisierung zum Vorgehen im Notfall", + "props": [ + { + "name": "alt-identifier", + "value": "eaee617b-d2db-48b3-8042-67098ad56bc5" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Kompetenzmanagement" + } + ], + "parts": [ + { + "id": "NOT.3.3_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Nutzende" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Schulungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "zur Vorgehensweise in Notfällen und Krisen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "sensibilisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Notfallplanung für Nutzende SOLLTE zur Vorgehensweise in Notfällen und Krisen sensibilisieren." + }, + { + "id": "NOT.3.3_gdn", + "name": "guidance", + "prose": "Eine Sensibilisierung für die Vorgehensweise in Notfällen und Krisen (Contingency Training) stellt sicher, dass alle zuständigen Stellen ihre Aufgaben bei einem Schadensereignis kennen. Zweckmäßig ist es, die Detailtiefe der Sensibilisierung auf die unterschiedlichen Aufgaben bei einem Schadensereignis zuzuschneiden. Beispielsweise genügt es für manche Mitarbeitenden zu wissen, welche Erreichbarkeit bei einem Schadensereignis von ihnen erwartet wird." + } + ] + }, + { + "id": "NOT.3.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Funktionstest", + "params": [ + { + "id": "not.3.4-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "0c39ea3f-c7aa-47dc-9adb-dfaeac52d716" + } + ], + "label": "regelmäßig" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "0c39ea3f-c7aa-47dc-9adb-dfaeac52d716" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "parts": [ + { + "id": "NOT.3.4_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Übungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die tatsächliche Funktionstüchtigkeit von Notfallplänen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{regelmäßig}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überprüfen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Notfallplanung KANN die tatsächliche Funktionstüchtigkeit von Notfallplänen {{ insert: param, not.3.4-prm1 }} überprüfen." + }, + { + "id": "NOT.3.4_gdn", + "name": "guidance", + "prose": "Eine regelmäßige Überprüfung hilft zu erkennen, ob die verschiedenen Notfallpläne (z. B. Wiederanlaufplan, Geschäftsfortführungsplan) und Notbetriebsressourcen tatsächlich funktionieren und die Zuständigen die Verfahrensweisen beherrschen. Mit der tatsächlichen Funktionstüchtigkeit ist gemeint, dass nicht nur die Aktualität der Pläne betrachtet wird, sondern soweit möglich auch die konkreten Ressourcen geprüft werden (z.B. laufen die Meldewege wie vorgesehen, lassen sich Ausfallleitungen aktivieren, sind Ersatzgeräte nutzbar). Ist hierzu noch nicht die erforderliche Reife erlangt, können in einem ersten Schritt Planbesprechungen, die nur virtuell einen Plan überprüfen, eingesetzt werden. Nähere Informationen können dem BSI-Standard 200-4 Kapitel 13.9 Funktionstest (R optional +AS) und 13.5 Planbesprechung (R optional +AS) entnommen werden." + } + ] + }, + { + "id": "NOT.3.5", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Ausweich-Telekommunikation", + "props": [ + { + "name": "alt-identifier", + "value": "c5c11340-1ae0-4244-8277-b5a5c69d919f" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + } + ], + "parts": [ + { + "id": "NOT.3.5_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Notfallhandbuch" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Ausweich-Telekommunikationsdienste" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Notfallplanung SOLLTE Ausweich-Telekommunikationsdienste verankern." + }, + { + "id": "NOT.3.5_gdn", + "name": "guidance", + "prose": "„Ausweich-Telekommunikationsdienste“ sind alternative, im Notfall nutzbare Kommunikationswege oder -infrastrukturen, die den Fortbestand kritischer Kommunikationsprozesse gewährleisten können, wenn die primären Dienste kompromittiert oder ausgefallen sind (out-of-band communication). Der Sinn und Zweck der Regelung liegt nicht nur darin, den Informationsaustausch kritischer Geschäftsprozesse im Notfall sicherzustellen, sondern dient auch der sicherheitsbezogenen Koordination und Entscheidungsfindung bei schwerwiegenden Störungen oder Angriffen, etwa bei Ausfällen von Festnetz- oder VoIP-Diensten durch technische Defekte, Naturereignisse oder Cyberangriffe. Eine unzureichende Vorsorge könnte dazu führen, dass im Krisenfall keine Lageabstimmung, Notfallkommunikation oder Meldung an Sicherheitsbehörden möglich ist, oder dass Angreifer die eingeleiteten Gegenmaßnahmen über bereits kompromittierte Dienste mitlesen. Ausweich-Telekommunikationsdienste können z.B. über den Anschluss anderer Anbieter, Mobilfunk oder Satellitenanschlüsse umgesetzt werden. Hierbei ist sowohl an den Netzanschluss kritischer IT-Systeme als auch an die Erreichbarkeit der im Notfall zuständigen Mitarbeiter und Dienstleister zu denken." + } + ] + }, + { + "id": "NOT.3.6", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Sicherheitsmechanismen", + "props": [ + { + "name": "alt-identifier", + "value": "f0645a33-62db-46f5-9153-1ee8833eba34" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + } + ], + "parts": [ + { + "id": "NOT.3.6_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Notfallhandbuch" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "alternative Sicherheitsmechanismen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": ", die in Notfällen greifen," + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Notfallplanung SOLLTE alternative Sicherheitsmechanismen , die in Notfällen greifen, verankern." + }, + { + "id": "NOT.3.6_gdn", + "name": "guidance", + "prose": "In Notfällen besteht das Risiko, dass manche Sicherheitsvorkehrungen nicht zur Verfügung stehen. Alternative oder ergänzende Sicherheitsvorkehrungen können in Notfällen helfen die Balance zwischen Vertraulichkeit, Integrität und Verfügbarkeit aufrechtzuerhalten (z.B. Einmalpasswörter, die in einem Safe hinterlegt werden). Hierbei ist insbesondere daran zu denken, dass alternative Sicherheitsvorkehrungen nicht die im Normalbetrieb verwendeten Sicherheitsvorkehrungen untergraben." + } + ] + } + ] + }, + { + "id": "NOT.4", + "title": "Datensicherung", + "props": [ + { + "name": "label", + "value": "4" + }, + { + "name": "alt-identifier", + "value": "1078068d-5241-4138-a16e-22d9c44330fc" + } + ], + "controls": [ + { + "id": "NOT.4.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Dokumentation der Quellen", + "props": [ + { + "name": "alt-identifier", + "value": "db78cca2-d85a-443d-8198-b5fa84d58b9d" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + } + ], + "parts": [ + { + "id": "NOT.4.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Datensicherungskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die zu sichernden Daten" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Notfallplanung SOLLTE die zu sichernden Daten dokumentieren." + }, + { + "id": "NOT.4.1_gdn", + "name": "guidance", + "prose": "Datensicherungen dienen der Wiederherstellung von Daten nach Vorfällen. Aufgrund der besonderen Bedeutung fordert auch die ISO/IEC 27001 die Sicherung von Informationen in Übereinstimmung mit themenspezifischen Regelungen zur Datensicherung. Hierzu gehört die Regelung, welche Daten konkret gesichert werden (Quellen, Datenkategorien, Umfang). Relevant sind dabei auch Daten, die bei Dienstleistern oder in der Cloud aufbewahrt werden. Die Datensicherung kann auch durch die Sicherung ganzer IT-Systeme, Datenträger oder Netzlaufwerke umgesetzt werden. Es empfiehlt sich auch zu prüfen, wie die Institution ihre Daten, welche bei einem Outsourcing Dienstleister liegen, sichern will. Es ist möglich eine Datensicherung durch den Dienstleister oder auch bei sich selbst zu erstellen." + } + ] + }, + { + "id": "NOT.4.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Sicherung des Systems", + "params": [ + { + "id": "not.4.2-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "a77c3a5e-44fc-482c-974a-e4d9dc7cd255" + } + ], + "label": "regelmäßig" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "a77c3a5e-44fc-482c-974a-e4d9dc7cd255" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "NOT.4.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Datensicherungskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "deren Datensicherung" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{regelmäßig}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "ausführen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Notfallplanung für IT-Systeme SOLLTE deren Datensicherung {{ insert: param, not.4.2-prm1 }} ausführen." + }, + { + "id": "NOT.4.2_gdn", + "name": "guidance", + "prose": "Zu den erforderlichen Daten können z.B. Konfigurationsdateien des Betriebssystems, Firmware, Lizenzen, Treiber und die Systemdokumentation gehören. Bei gleichartigen Systemen kann die Anforderung auch durch die Sicherung einer Kopie erfolgen, wenn mit dieser alle IT-Systeme dieser Art funktionsfähig wiederhergestellt werden können. Die Anforderung kann auch durch die Wiederherstellung aus einem Versionskontrollsystem erfolgen." + } + ] + }, + { + "id": "NOT.4.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Sicherung der Anwendung", + "params": [ + { + "id": "not.4.3-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "dcfb7d28-71df-45f4-ada5-a284415e8c90" + } + ], + "label": "regelmäßig" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "dcfb7d28-71df-45f4-ada5-a284415e8c90" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "NOT.4.3_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Datensicherungskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "deren Datensicherung" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{regelmäßig}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "ausführen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Notfallplanung für Anwendungen SOLLTE deren Datensicherung {{ insert: param, not.4.3-prm1 }} ausführen." + }, + { + "id": "NOT.4.3_gdn", + "name": "guidance", + "prose": "Hierzu können z.B. sowohl die Daten einer Backend-Datenbank, als auch Konfigurationsdateien oder Sicherheitseinstellungen gehören. Bei einer Verzeichnisdatenbank z.B. sind typischerweise sowohl die eigentlichen Verzeichniseinträge wie Benutzer & Gruppenzugehörigkeiten, als auch Metadaten wie Benutzerattribute, Gruppenrichtlinien und Informationen zur Integration von Drittdiensten erforderlich, um die Verzeichnisdatenbank funktionsfähig wiederherzustellen." + } + ] + }, + { + "id": "NOT.4.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Automatische Datensicherung", + "params": [ + { + "id": "not.4.4-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "20fa9557-7db9-4367-9592-35ca5d8e8be7" + } + ], + "label": "einen automatisierten Mechanismus" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "20fa9557-7db9-4367-9592-35ca5d8e8be7" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "NOT.4.4_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Daten" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Datensicherungskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Datensicherung" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "durch {{einen automatisierten Mechanismus}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "ausführen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Notfallplanung für Daten SOLLTE die Datensicherung durch {{ insert: param, not.4.4-prm1 }} ausführen." + }, + { + "id": "NOT.4.4_gdn", + "name": "guidance", + "prose": "Ein automatisierter Mechanismus (engl. automated mechanism) ist hier ein technisches Verfahren, das ohne manuelles Zutun in festgelegten Intervallen oder bei bestimmten Ereignissen Sicherungskopien von Daten erstellt und dokumentiert. Er kann z. B. über Skripte, Backup-Software oder systemeigene Dienste umgesetzt werden, die regelmäßig und zuverlässig ausgeführt werden. Der Zweck solcher Mechanismen liegt darin, menschliche Fehlerquellen und Auslassungen zu vermeiden, denn eine manuelle Sicherung könnte in Stresssituationen übersehen werden oder unvollständig sein. Die Vorgabe kann so verhindern, dass im Falle von Schadsoftwarebefall oder Hardwareausfall kritische Daten unwiederbringlich verloren gehen, und sie kann eine schnelle Wiederherstellung der Arbeitsfähigkeit nach einem Vorfall ermöglichen. Ohne Automatisierung könnte eine Institution etwa nach einem Ransomware-Angriff feststellen, dass keine aktuelle Sicherung vorliegt. Die Anforderung ist auch dann erfüllt, wenn zusätzlich manuelle Datensicherungen durchgeführt werden." + } + ] + }, + { + "id": "NOT.4.5", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Archivierung langfristig benötigter Daten", + "params": [ + { + "id": "not.4.5-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "90012325-5827-4ad9-bee7-6877a37cecfe" + } + ], + "label": "regelmäßig" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "90012325-5827-4ad9-bee7-6877a37cecfe" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + } + ], + "links": [ + { + "href": "#ASST.7.2.1", + "rel": "related" + } + ], + "parts": [ + { + "id": "NOT.4.5_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Daten" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Datensicherungskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Archivierung langfristig benötigter Daten" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{regelmäßig}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "ausführen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Notfallplanung für Daten SOLLTE die Archivierung langfristig benötigter Daten {{ insert: param, not.4.5-prm1 }} ausführen." + }, + { + "id": "NOT.4.5_gdn", + "name": "guidance", + "prose": "Archivierung meint hier die langfristige Aufbewahrung derjenigen Daten, die über längere Zeit benötigt werden, z.B. als Nachweis der Einhaltung rechtlicher Verpflichtungen oder zur Geltendmachung von Ansprüchen. Dabei kann es sich sowohl um analoge Dokumente als auch um digitale Daten handeln. Die meisten Institutionen verarbeiten Daten, die aufgrund von Compliance-Verpflichtungen langfristig gespeichert werden, z.B. handels- und steuerrechtlich relevante Dokumente oder Eigentumsurkunden. Langfristige Daten könnten durch technische Änderungen oder Vorfälle verloren gehen. Zur Umsetzung siehe BSI TR-03125. Sind keine Daten langfristig (z.B. über mehr als 10 Jahre) erforderlich, so ist die Anforderung entbehrlich. Es empfiehlt sich darüber hinaus ein verlustfreies Bildkompressionsverfahren zu nutzen, um eine beweis- und revisionssichere Archivierung zu gewährleisten." + } + ], + "controls": [ + { + "id": "NOT.4.5.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Zum Archiv gehörende Assets", + "params": [ + { + "id": "not.4.5.1-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "5fda3188-8ad6-4981-953c-975696be1bfc" + } + ], + "label": "regelmäßig" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "5fda3188-8ad6-4981-953c-975696be1bfc" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + } + ], + "parts": [ + { + "id": "NOT.4.5.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Daten" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Datensicherungskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Archivierung von Assets, die zur Verwendung von archivierten Daten erforderlich sind," + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{regelmäßig}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "ausführen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Notfallplanung für Daten SOLLTE die Archivierung von Assets, die zur Verwendung von archivierten Daten erforderlich sind, {{ insert: param, not.4.5.1-prm1 }} ausführen." + }, + { + "id": "NOT.4.5.1_gdn", + "name": "guidance", + "prose": "Je nach Art der Daten können zu deren Nutzung z.B. bestimmte (physische oder virtuelle) Assets wie Systeme oder Anwendungen erforderlich sein, z.B. bestimmte Datenbankversionen, kompatible Betriebssysteme und Lizenzen, Anwendungen zur kryptographischen Entschlüsselung der Daten, Konfigurationsdateien oder Betriebsparameter. Wenn Daten für eine lange Zeit aufbewahrt werden, könnte es vorkommen, dass sie nicht mehr lesbar und reproduzierbar sind, weil diese Assets nicht mehr existieren und auch nicht mehr beschafft werden können." + } + ] + }, + { + "id": "NOT.4.5.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Zum Archiv gehörende Dokumentation", + "params": [ + { + "id": "not.4.5.2-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "c8feda1f-4d2c-4831-9822-04be256e9e51" + } + ], + "label": "regelmäßig" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "c8feda1f-4d2c-4831-9822-04be256e9e51" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + } + ], + "parts": [ + { + "id": "NOT.4.5.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Daten" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Datensicherungskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Archivierung von Dokumentationen, die zur Verwendung von archivierten Daten erforderlich sind," + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{regelmäßig}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "ausführen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Notfallplanung für Daten SOLLTE die Archivierung von Dokumentationen, die zur Verwendung von archivierten Daten erforderlich sind, {{ insert: param, not.4.5.2-prm1 }} ausführen." + }, + { + "id": "NOT.4.5.2_gdn", + "name": "guidance", + "prose": "Hierbei geht es darum, nicht nur die Daten selbst, sondern auch alle begleitenden Informationen („metadata“ oder „supporting documentation“) regelmäßig zu sichern, um deren spätere Nutzbarkeit zu gewährleisten. Dokumentationen sind in diesem Zusammenhang beispielsweise Bedienungsanleitungen, technische Spezifikationen, Konfigurationsdateien oder Verfahrensanweisungen, die notwendig sind, um archivierte Daten auch nach Jahren noch korrekt zu interpretieren oder wiederherzustellen. Die Frequenz ist dabei abhängig von der Kritikalität der Daten und der Änderungsfrequenz der begleitenden Dokumente. Ohne solche begleitenden Unterlagen könnte ein Datenbestand zwar vorliegen, aber praktisch unbrauchbar sein, da die nötigen Kontexte oder technischen Details fehlen." + } + ] + } + ] + }, + { + "id": "NOT.4.6", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Geschützte Aufbewahrung", + "props": [ + { + "name": "alt-identifier", + "value": "ac46110b-7f7f-4111-b7e8-5abf648563b9" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + } + ], + "parts": [ + { + "id": "NOT.4.6_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Datensicherungskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine geschützte Aufbewahrung von Datensicherungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Notfallplanung SOLLTE eine geschützte Aufbewahrung von Datensicherungen verankern." + }, + { + "id": "NOT.4.6_gdn", + "name": "guidance", + "prose": "Eine geschützte Aufbewahrung von Datensicherungen bedeutet, dass Sicherungskopien nicht nur vorhanden sind, sondern auch vor Verlust, Manipulation oder unbefugtem Zugriff bewahrt werden. Dabei wird berücksichtigt, dass Datensicherungen häufig ein attraktives Ziel für Angriffe darstellen und gleichzeitig im Notfall die einzige Möglichkeit zur Wiederherstellung von Systemen und Daten sein können. Beispiele für Schutzmaßnahmen sind die Ablage von Sicherungsmedien in feuer- und wasserfesten Tresoren, die Nutzung getrennter Räumlichkeiten oder externer Rechenzentren mit physischen Sicherheitsvorkehrungen sowie die Verschlüsselung von Backups, wenn diese an externen Standorten oder in Cloud-Umgebungen gespeichert werden. Auch organisatorische Maßnahmen wie eine klare Regelung, wer Zugriff auf die Sicherungen erhält, tragen zum Schutz bei." + } + ] + }, + { + "id": "NOT.4.7", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Versionierte Datensicherung", + "props": [ + { + "name": "alt-identifier", + "value": "7c3570d6-8230-42ca-a79e-d198cc7e7744" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "NOT.4.7_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Datensicherungskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine Versionierung der Datensicherung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Notfallplanung SOLLTE eine Versionierung der Datensicherung verankern." + }, + { + "id": "NOT.4.7_gdn", + "name": "guidance", + "prose": "Versionierung ist die Aufbewahrung nach Zeitpunkten getrennter Versionen der Datensicherung, um auch Daten wiederherstellen zu können, die in der letzten Sicherung bereits gelöscht waren. Bewährt hat sich eine Aufbewahrung von je drei Versionen für die letzten Stunden, dann Tage, dann Wochen, dann Monate – soweit nach Compliance-Anforderungen (z.B. Datenschutz) möglich." + } + ] + }, + { + "id": "NOT.4.8", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Verschlüsselte Datensicherung", + "params": [ + { + "id": "not.4.8-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "b443fd60-5e58-454b-8d57-baec8a876d22" + } + ], + "label": "einen anerkannten kryptographischen Algorithmus" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "b443fd60-5e58-454b-8d57-baec8a876d22" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Cryptography" + } + ], + "parts": [ + { + "id": "NOT.4.8_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Datensicherungskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Datensicherung" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "durch {{einen anerkannten kryptographischen Algorithmus}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verschlüsseln" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Notfallplanung SOLLTE die Datensicherung durch {{ insert: param, not.4.8-prm1 }} verschlüsseln." + }, + { + "id": "NOT.4.8_gdn", + "name": "guidance", + "prose": "Die Datensicherung enthält typischerweise eine große Menge schützenswerter Daten. Durch Verschlüsselung wird die Vertraulichkeit und Integrität geschützter Informationen auch nach einem schwerwiegenden Vorfall gewährleistet. Dies kann besonders bei einem Datenleck (engl. Data Breach) oder Diebstahl von Speichermedien helfen, da die Offenlegung sensibler Daten selbst bei unbefugtem Zugriff verhindert werden kann. Für anerkannte Algorithmen siehe BSI TR-02102. Technisch kann die Festplattenverschlüsselung auf dem Sicherungsspeicher (Disk Encryption) genutzt werden, aber auch die dateibasierte Verschlüsselung jedes einzelnen Sicherungs-Archives. Wichtig ist es, dabei auch auf die Verwaltung der kryptographischen Schlüssel (Key Management) zu achten, damit diese weder einem unbeugten Zugriff ausgesetzt sind, noch der Zugriff auf die Datensicherung im Ernstfall durch fehlende Zugangsdaten unmöglich wird." + } + ] + }, + { + "id": "NOT.4.9", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Speichermedien", + "props": [ + { + "name": "alt-identifier", + "value": "10c6fc65-f0f6-4ed2-9f47-65458aeb1e51" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "NOT.4.9_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Datensicherungskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "dedizierte Speichermedien," + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die für den festgelegten Aufbewahrungszeitraum geeignet sind," + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "installieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Notfallplanung SOLLTE dedizierte Speichermedien, die für den festgelegten Aufbewahrungszeitraum geeignet sind, installieren." + }, + { + "id": "NOT.4.9_gdn", + "name": "guidance", + "prose": "Dedizierte Speichermedien (engl. dedicated storage media) sind physische oder virtuelle Datenträger, die ausschließlich für Sicherungs- oder Wiederherstellungszwecke genutzt werden und nicht mit produktiven Systemen vermischt sind. Der festgelegte Aufbewahrungszeitraum (engl. retention period) bezeichnet den Zeitraum, in dem gespeicherte Sicherungen oder Kopien revisionssicher und lesbar verfügbar bleiben sollen, beispielsweise mehrere Monate für kurzfristige Recovery-Szenarien oder mehrere Jahre zur Abdeckung regulatorischer Anforderungen. Die Vorschrift zielt darauf ab, dass im Notfall tatsächlich auf funktionierende und vollständige Sicherungen zurückgegriffen werden kann; sie adressiert Risiken wie, dass Daten im Ernstfall durch unzuverlässige oder beschädigte Medien unbrauchbar sein könnten, oder dass durch unzureichende Haltbarkeit von Speichermedien eine Wiederherstellung scheitern könnte. Je nach Zeitraum und Platzbedarf bieten sich z.B. solider Festspeicher, Festplatten, Magnetbänder oder Cloudspeicher an. Bei der Nutzung von Cloudspeichern sind allerdings auch die zusätzlichen Anforderungen an Cloud-Dienste zu berücksichtigen." + } + ] + }, + { + "id": "NOT.4.10", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Getrennte Aufbewahrung", + "props": [ + { + "name": "alt-identifier", + "value": "c272387e-88de-4794-a223-c502c136a501" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "NOT.4.10_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Datensicherungskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Datensicherung getrennt von den Originaldaten" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "platzieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Notfallplanung SOLLTE die Datensicherung getrennt von den Originaldaten platzieren." + }, + { + "id": "NOT.4.10_gdn", + "name": "guidance", + "prose": "Originaldaten (engl. primary data) sind die produktiven oder operativen Daten, die unmittelbar für die laufenden Geschäftsprozesse verwendet werden. Die Anforderung adressiert damit, dass Kopien oder Sicherungen nicht am gleichen Ort wie die produktiven Systeme und deren Speicher verbleiben. Hintergrund ist, dass ein Vorfall wie ein Brand, ein Wasserschaden oder ein gezielter Einbruch gleichzeitig sowohl die produktiven Systeme als auch die dort aufbewahrten Sicherungen betreffen könnte, wodurch eine Wiederherstellung unmöglich wäre. Die physische Trennung kann dagegen die Verfügbarkeit und Wiederanlaufbarkeit der Daten nach einem Schadensereignis sicherstellen. Die Anforderung gilt auch für die Aufbewahrung bei Cloud-Diensten: Eine Aufbewahrung der Datensicherung bei einem Dienstleister, bei dem auch die Originaldaten liegen, erfüllt die Anforderung NICHT. Bei der getrennten Aufbewahrung von Datensicherung sind häufig praktische und sicherheitsrelevante Herausforderungen zu beachten: Ein ausgelagerter Speicherort ist in gleichem Maße schutzbedürftig gegenüber unbefugtem Zugriff wie der Standort der Originaldaten, da sich darauf oft vollständige und aktuelle Kopien sensibler Informationen befinden. Zudem sind längere Wiederanlaufzeiten möglich, wenn der externe Standort nicht unmittelbar erreichbar ist oder wenn logistische Verzögerungen beim Zugriff auf die ausgelagerten Datenträger auftreten. Auch die Gefahr von Inkonsistenzen steigt, wenn Backups zwar ausgelagert, aber nicht regelmäßig synchronisiert oder bei der Überprüfung beachtet werden." + } + ] + }, + { + "id": "NOT.4.11", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Datenträgerarchiv", + "props": [ + { + "name": "alt-identifier", + "value": "a7779b58-de2c-4f8c-aedd-008bdffcc823" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + } + ], + "parts": [ + { + "id": "NOT.4.11_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Datensicherungskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "ein Datenträgerarchiv" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "installieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Notfallplanung SOLLTE ein Datenträgerarchiv installieren." + }, + { + "id": "NOT.4.11_gdn", + "name": "guidance", + "prose": "Datenträgerarchive sind verschlossene Räume, die dediziert zur langfristigen Aufbewahrung von Datenträgern bestimmt sind. Die Anforderung gilt auch dann als umgesetzt, wenn zusätzlich zur Datensicherung im Datenträgerarchiv auch noch Kopien existieren, die nicht im Datenträgerarchiv aufbewahrt werden. Ein wesentlicher Mehrwert von Datenträgerarchiven ist die geschützte Aufbewahrung. Daher zählt ein Datenträgerarchiv nur dann als Mehrwert, wenn das Archiv sich auch in einem anderen Brandabschnitt befindet als die Originaldaten." + } + ] + }, + { + "id": "NOT.4.12", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Georedundanz", + "props": [ + { + "name": "alt-identifier", + "value": "d0538604-ab92-44f7-a018-a1b32195bc22" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "parts": [ + { + "id": "NOT.4.12_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Datensicherungskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die georedundante Aufbewahrung mindestens einer Kopie der Datensicherung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Notfallplanung KANN die georedundante Aufbewahrung mindestens einer Kopie der Datensicherung verankern." + }, + { + "id": "NOT.4.12_gdn", + "name": "guidance", + "prose": "Werden Datensicherungen in der Nähe von Originaldaten aufbewahrt, so könnten beide von Elementaren Gefährdungen wie Überflutungen betroffen sein. Georedundant bedeutet in der Regel 200km Luftlinie oder mehr von den Originaldaten entfernt. Details siehe BSI Kriterien für die Standortwahl von Rechenzentren. Die Anforderung kann auch durch die gegenseitige Aufbewahrung in georedundanten Rechenzentren erfüllt werden." + } + ] + }, + { + "id": "NOT.4.13", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Datensouveränität", + "params": [ + { + "id": "not.4.13-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "13789041-edcf-4270-a8d1-49bdd0d54ab4" + } + ], + "label": "einem anerkannten Standard" + }, + { + "id": "not.4.13-prm2", + "props": [ + { + "name": "alt-identifier", + "value": "13789041-edcf-4270-a8d1-49bdd0d54ab4" + } + ], + "label": "regelmäßig" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "13789041-edcf-4270-a8d1-49bdd0d54ab4" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "NOT.4.13_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Outsourcing" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Datensicherungskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Datensicherung von Daten, die bei einem Dienstleister verarbeitet werden," + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "nach {{einem anerkannten Standard}} {{regelmäßig}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "ausführen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Notfallplanung für Outsourcing SOLLTE die Datensicherung von Daten, die bei einem Dienstleister verarbeitet werden, nach {{ insert: param, not.4.13-prm1 }} {{ insert: param, not.4.13-prm2 }} ausführen." + }, + { + "id": "NOT.4.13_gdn", + "name": "guidance", + "prose": "Dies dient dazu bei einem Ausfall des Dienstleisters die Daten schnell bei einem anderen Dienstleister oder intern weiterverwenden zu können (Interoperabilität in der Exitstrategie). Anerkannt ist hier ein Format, welches auch bei einem anderen Dienstleister verwendet werden kann. Mögliche anerkannte Standards zum Datenaustausch sind z.B. XML, JSON, YAML, CSV, ODF. Eine Sicherungskopie ist unter eigener Hoheit, wenn sie auf Datenträgern im Besitz der Institution aufbewahrt wird, über die dieser Dienstleister keine Kontrolle hat. Relevant sind dabei auch Konfigurationsdateien, Programmcode und Dokumentationen, die zur Verwendung der Daten erforderlich sind." + } + ] + }, + { + "id": "NOT.4.14", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Offline-Kopie", + "params": [ + { + "id": "not.4.14-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "3772a701-e5d0-4aee-a393-ad539482eb72" + } + ], + "label": "regelmäßig" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "3772a701-e5d0-4aee-a393-ad539482eb72" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "NOT.4.14_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Daten" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Datensicherungskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine Offline-Kopie" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{regelmäßig}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "ausführen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Notfallplanung für Daten SOLLTE eine Offline-Kopie {{ insert: param, not.4.14-prm1 }} ausführen." + }, + { + "id": "NOT.4.14_gdn", + "name": "guidance", + "prose": "Eine Offline-Kopie ist eine Datensicherung, die physisch oder logisch von produktiven Systemen und dem laufenden Netzwerk getrennt ist („offline backup“ oder „air-gapped backup“). „Regelmäßig“ bedeutet, dass die Institution in Abhängigkeit von Verfügbarkeit und Kritikalität ihrer Daten feste Intervalle definiert, beispielsweise täglich, wöchentlich oder monatlich. Der Sinn und Zweck dieser Vorgabe liegt darin, sicherzustellen, dass im Falle von Schadsoftwarebefall oder gezielten Angriffen keine gleichzeitige Kompromittierung aller Sicherungskopien stattfinden kann; ein Angriff könnte sonst auch Backups verschlüsseln oder löschen. Eine Offline-Kopie kann dagegen die Wiederherstellung kritischer Systeme nach einem Ransomware-Angriff oder auch nach einem physischen Ausfall, etwa durch Stromschaden oder Brand, unterstützen. Eine Institution kann dies umsetzen, indem sie (1) Backups auf wechselbare Medien wie externe Festplatten, RDX-Kassetten oder Bänder erstellt, die nach dem Backup-Vorgang vom Netzwerk getrennt und sicher aufbewahrt werden, (2) Cloud-Backups so konfiguriert, dass sie durch Write-Once-Read-Many-(WORM)-Speicher geschützt und logisch von aktiven Systemen isoliert sind, oder (3) eine Rotation von Datenträgern einführt, bei der Kopien an einem separaten, physischen Standort verwahrt werden." + } + ] + }, + { + "id": "NOT.4.15", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Vorgehen zur Wiederherstellung", + "props": [ + { + "name": "alt-identifier", + "value": "895e5e39-01ca-4da0-86aa-d7c2594f7270" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + } + ], + "parts": [ + { + "id": "NOT.4.15_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Datensicherungskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Vorgehensweise zur Wiederherstellung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Notfallplanung SOLLTE die Vorgehensweise zur Wiederherstellung dokumentieren." + }, + { + "id": "NOT.4.15_gdn", + "name": "guidance", + "prose": "Die Dokumentation der Vorgehensweise zur Wiederherstellung dient dazu, im Notfall eine schnelle und geordnete Wiederinbetriebnahme von IT-Systemen und Daten zu ermöglichen. Ohne eine klare Beschreibung der Abläufe kann es zu Verzögerungen, Fehlern oder widersprüchlichen Handlungen kommen, was die Wiederherstellung erheblich erschwert. In einer solchen Dokumentation werden beispielsweise die Reihenfolge der Wiederherstellung kritischer Systeme, die benötigten Datensicherungen und Speicherorte, die erforderlichen Werkzeuge sowie die zuständigen Rollen und Kontaktwege beschrieben. Ergänzend kann auch festgehalten werden, wie die Funktionsfähigkeit nach der Wiederherstellung überprüft wird. Einfache Beispiele sind Schritt-für-Schritt-Anleitungen für die Rücksicherung bestimmter Anwendungen oder Checklisten, die während des Wiederherstellungsprozesses abgearbeitet werden." + } + ] + }, + { + "id": "NOT.4.16", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Test der Datensicherung", + "params": [ + { + "id": "not.4.16-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "09fe99af-64b5-478f-80c0-c4ea6f6d4561" + } + ], + "label": "regelmäßig" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "09fe99af-64b5-478f-80c0-c4ea6f6d4561" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "NOT.4.16_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Daten" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Datensicherungskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "den Erfolg der Datensicherung" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{regelmäßig}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überprüfen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Notfallplanung für Daten SOLLTE den Erfolg der Datensicherung {{ insert: param, not.4.16-prm1 }} überprüfen." + }, + { + "id": "NOT.4.16_gdn", + "name": "guidance", + "prose": "Die Überprüfung der Vollständigkeit kann durch Statistiken des Datenumfangs plus Stichproben der Daten durchgeführt werden. Ein Integritätstest prüft, ob die gesicherten Daten ohne Änderungen im Vergleich zum Original vorliegen. Hierzu können je nach Daten auch Berechtigungen und Metadaten gehören, wenn diese für die Rücksicherung erforderlich sind (z.B. Wiederherstellung eines Laufwerks mit Ordnern die verschiedene Zugriffsberechtigungen haben)." + } + ], + "controls": [ + { + "id": "NOT.4.16.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Test der Wiederherstellung", + "params": [ + { + "id": "not.4.16.1-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "77286239-41b4-49e0-86f7-1b64364d9759" + } + ], + "label": "regelmäßig" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "77286239-41b4-49e0-86f7-1b64364d9759" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "NOT.4.16.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Daten" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Datensicherungskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Wiederherstellung" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "mindestens anhand von repräsentativen Stichproben {{regelmäßig}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überprüfen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Notfallplanung für Daten SOLLTE die Wiederherstellung mindestens anhand von repräsentativen Stichproben {{ insert: param, not.4.16.1-prm1 }} überprüfen." + }, + { + "id": "NOT.4.16.1_gdn", + "name": "guidance", + "prose": "Unter „Erfolg der Datensicherung“ ist hier die Vollständigkeit („completeness“) und Integrität („integrity“) der erstellten Backups zu verstehen. Eine fehlerhafte oder unvollständige Sicherung könnte unbemerkt bleiben, wenn nicht aktiv geprüft wird, während eine gezielte Validierung die Sicherheit bietet, dass sich die Daten bei Bedarf in unveränderter Form vorfinden lassen. Damit kann ein gravierender Datenverlust, etwa durch korrupte Sicherungsdateien oder abgebrochene Backup-Jobs, rechtzeitig erkannt und behoben werden. Die Anforderung zielt darauf ab, Risiken durch Scheinsicherheit zu reduzieren – etwa wenn Backup-Prozesse zwar automatisiert laufen, aber unbemerkt leere, fehlerhafte oder inkonsistente Datenbestände erzeugen könnten. Durch eine regelmäßige Überprüfung kann die Institution sicherstellen, dass die gesicherten Daten tatsächlich verwendbar bleiben, und damit das Risiko von Ausfallzeiten oder irreversiblen Informationsverlusten verringern. Konkret umgesetzt werden kann dies z. B., indem (1) Backup-Logs automatisch auf Fehlermeldungen oder Warnungen geprüft werden, (2) Prüfsummenverfahren wie Hashes (z. B. SHA-256) zur Integritätskontrolle eingesetzt werden und (3) stichprobenartige Vergleiche zwischen gesicherten und Originaldateien durchgeführt werden. Die Stichprobe kann sich dabei entweder auf die Wiederherstellung selber (= Wiederherstellung nur einiger Daten) als auch auf den deren Überprüfung (= Öffnen nur einiger Daten) beziehen. Stichproben sind repräsentativ, wenn die Zusammensetzung der Stichprobe von Test zu Test geändert wird und die Wahrscheinlichkeit der Stichprobenauswahl auch der Bedeutung der Daten entspricht. Zweckmäßig ist es dazu, bei der Stichprobenauswahl den Schutzbedarf der Daten zu berücksichtigen: Für besonders wichtige Systeme wie Verzeichnisdienste und für den Geschäftsbetrieb unerlässliche Daten ist eine häufigere Überprüfung erforderlich als für Daten und Systeme, auf die im Notfall auch verzichtet werden kann. Die Anforderung ist auch erfüllt, wenn statt einer Stichprobe eine vollständige Wiederherstellung vorgenommen und geprüft wird. Die Anforderung ist auch dann erfüllt, wenn die Überprüfung durch aktive Verwendung der Daten nach einer Wiederherstellung erfolgt (z.B. durch Inbetriebnahme neuer Server-Container, die aus einer versionierten Datensicherung automatisch angelegt werden)." + } + ] + } + ] + }, + { + "id": "NOT.4.17", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Anwendungstest", + "params": [ + { + "id": "not.4.17-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "97025637-17d4-48fc-ace6-67f20e7ccee6" + } + ], + "label": "regelmäßig" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "97025637-17d4-48fc-ace6-67f20e7ccee6" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "parts": [ + { + "id": "NOT.4.17_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Datensicherungskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "deren Funktionsfähigkeit nach Wiederherstellung" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{regelmäßig}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überprüfen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Notfallplanung für Anwendungen KANN deren Funktionsfähigkeit nach Wiederherstellung {{ insert: param, not.4.17-prm1 }} überprüfen." + }, + { + "id": "NOT.4.17_gdn", + "name": "guidance", + "prose": "Diese Anforderung zielt darauf ab, die Disaster-Recovery-Fähigkeiten einer Anwendung insgesamt zu gewährleisten. Durch regelmäßige Tests der Wiederherstellung aus Backups wird sichergestellt, dass im Ernstfall (Systemausfall, Datenverlust, Cyberangriff) eine funktionierende Wiederherstellung möglich ist. Dabei wird nicht nur die bloße Wiederherstellung getestet, sondern auch die Funktionalität der wiederhergestellten Anwendung verifiziert – inklusive Datenintegrität und korrekte Übernahme der Konfiguration." + } + ] + } + ] + } + ] + }, + { + "id": "DET", + "title": "Detektion", + "props": [ + { + "name": "label", + "value": "DET", + "remarks": "Die Praktik Detektion sorgt dafür, dass sicherheitsrelevante Ereignisse rechtzeitig erkannt werden. Zu diesem Zweck werden geeignete organisatorische, personelle und technische Maßnahmen im Vorfeld geplant, implementiert und regelmäßig geübt. Damit die Detektion erfolgreich ist, muss umfassend protokolliert werden. Das Zusammenspiel zwischen den Praktiken Protokollierung und Detektion ist für die erfolgreiche Erkennung sicherheitsrelevanter Ereignisse unerlässlich. Die Praktik Detektion regelt jedoch nicht den Umgang mit sicherheitsrelevanten Ereignissen nach deren Erkennung. Dies ist Aufgabe der Praktik Sicherheitsvorfallsbehandlung." + }, + { + "name": "alt-identifier", + "value": "f479aa5a-6dd9-4b9b-973e-8c4f85b074ed" + } + ], + "groups": [ + { + "id": "DET.1", + "title": "Grundlagen", + "props": [ + { + "name": "label", + "value": "1" + }, + { + "name": "alt-identifier", + "value": "94bfadab-43f6-48d7-ac5e-49b8fbcf2794" + } + ], + "controls": [ + { + "id": "DET.1.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Verfahren und Regelungen", + "props": [ + { + "name": "alt-identifier", + "value": "03e9ac6f-3dbc-438b-9671-6754e617c105" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "DET.1.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Detektions-Konzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Verfahren und Regelungen zur Detektion von Sicherheitsvorfällen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Detektion MUSS Verfahren und Regelungen zur Detektion von Sicherheitsvorfällen verankern." + }, + { + "id": "DET.1.1_gdn", + "name": "guidance", + "prose": "Durch die steigende Menge und Komplexität von Datenverarbeitungen sind Sicherheitsvorfälle auch bei bester Prävention zu erwarten. Ein Verfahren zur Detektion stellt sicher, dass Sicherheitsvorfälle zeitnah entdeckt werden können. Hierzu gehört, wie aktiv und passiv Sicherheitsvorfälle erkannt werden, sowie wer bei der Erkennung dabei wofür zuständig ist. Die Umsetzung kann in einem eigenen Prozess, oder integriert in andere Prozesse und Aufgaben erfolgen. Die bei der Festlegung des Verfahrens im Einzelnen zu berücksichtigenden Inhalte ergeben sich aus den Anforderungen dieser Praktik." + } + ], + "controls": [ + { + "id": "DET.1.1.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Dokumentation", + "props": [ + { + "name": "alt-identifier", + "value": "609e4af3-91aa-47e9-a293-a6d4ec446ae2" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "DET.1.1.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Verfahren und Regelungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Detektion MUSS die Verfahren und Regelungen dokumentieren." + }, + { + "id": "DET.1.1.1_gdn", + "name": "guidance", + "prose": "Ohne eine Dokumentation könnte die Einhaltung der Verfahren und Regelungen von der Tagesform oder dem individuellen Wissen einzelner Mitarbeiter abhängen, was zu inkonsistenten Entscheidungen und Fehlern führen könnte; insbesondere beim Ausscheiden eines langjährigen Administrators könnte wertvolles prozessuales Wissen verloren gehen. Eine klare Dokumentation sichert die Verbindlichkeit und Wiederholbarkeit und dient als unverzichtbare Grundlage für die Einarbeitung neuer Kollegen, für die Durchführung von Audits und zur einheitlichen Anwendung der Regeln in der gesamten Institution. Die Dokumentation kann in einem eigenständigen Dokument als Richtlinie erfolgen, aber auch als Abschnitt in einem bereits bestehenden Dokument oder über die digital strukturiere Erfassung von Maßnahmen zur Umsetzung der Anforderungen, etwa über eine Software zum Management der Informationssicherheit. Sinnvoll ist es Ort und Struktur der Dokumentation an der jeweiligen Zielgruppe, d.h. den für das Management und die Umsetzung verantwortlichen Personen oder Rollen, auszurichten." + } + ] + }, + { + "id": "DET.1.1.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Zuweisung der Aufgaben", + "params": [ + { + "id": "det.1.1.2-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "e77e84bc-da99-4a39-97da-41393c6422ac" + } + ], + "label": "zuständigen Personen oder Rollen" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "e77e84bc-da99-4a39-97da-41393c6422ac" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "DET.1.1.2_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Geschäftsverteilungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die mit den Verfahren und Regelungen verbundenen Aufgaben" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{zuständigen Personen oder Rollen}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "zuweisen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Detektion MUSS die mit den Verfahren und Regelungen verbundenen Aufgaben {{ insert: param, det.1.1.2-prm1 }} zuweisen." + }, + { + "id": "DET.1.1.2_gdn", + "name": "guidance", + "prose": "Die Zuweisung von Aufgaben bezeichnet die eindeutige und verbindliche Übertragung von konkreten Tätigkeiten und Verantwortlichkeiten des Änderungsprozesses, wie etwa die Risikobewertung, die technische Umsetzung oder die finale Freigabe, an definierte Stellen in der Institution. Der Sinn dieser Vorschrift ist es, die Verantwortlichkeit (\"Accountability\") für jeden einzelnen Schritt im Prozess klarzustellen. Ohne eine solche Zuweisung könnten kritische Prüfungen unterbleiben, weil sich niemand explizit zuständig fühlt, was wiederum die Wahrscheinlichkeit fehlgeschlagener Änderungen erhöht. Eine klare Regelung kann sicherstellen, dass keine Aufgaben übersehen werden und jede Tätigkeit von einer dafür qualifizierten und befugten Stelle ausgeführt wird, was die Prozesssicherheit signifikant erhöht. Eine bewährte Methode zur Umsetzung ist die Erstellung einer RACI-Matrix (Responsible, Accountable, Consulted, Informed), die tabellarisch für jeden Prozessschritt darstellt, wer für die Durchführung verantwortlich ist, wer die Gesamtverantwortung trägt, wer zu konsultieren und wer zu informieren ist. Diese Zuständigkeiten können auch direkt in einem Workflow- oder Ticketsystem abgebildet werden, sodass Aufgaben, wie beispielsweise Genehmigungsschritte, automatisch an die richtige Gruppe oder Person weitergeleitet werden. Sinnvoll ist es, die Zuweisung anhand von Rollen (z. B. \"Anwendungsverantwortlicher\", \"Netzwerkadministrator\", \"Change Manager\") vorzunehmen, statt an konkrete Personen. Dieser Ansatz stellt sicher, dass die Prozesse auch bei Personalwechseln stabil weiterlaufen, da die Zuständigkeit an die Funktion und nicht an das Individuum gebunden ist." + } + ] + }, + { + "id": "DET.1.1.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Bekanntgabe", + "props": [ + { + "name": "alt-identifier", + "value": "cd662f68-72c0-4de0-8969-2be2da7049de" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "DET.1.1.3_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die zuständigen Personen oder Rollen über die Verfahren und Regelungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "informieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Detektion MUSS die zuständigen Personen oder Rollen über die Verfahren und Regelungen informieren." + }, + { + "id": "DET.1.1.3_gdn", + "name": "guidance", + "prose": "Wenn die Zuständigen die etablierten Verfahren nicht kennen, besteht die Gefahr, dass diese – sei es aus Unwissenheit oder Bequemlichkeit – umgangen werden, was die Schutzwirkung des gesamten Managementsystems untergräbt. So könnte ein neuer Systemadministrator eine weitreichende Konfigurationsänderung vornehmen, ohne den vorgeschriebenen Genehmigungsprozess zu durchlaufen, was zu einem unbemerkten Sicherheitsrisiko führen könnte. Eine gezielte Information kann hingegen die Akzeptanz der Regelungen fördern und sicherstellen, dass alle Beteiligten ihre Rolle im Prozess verstehen und die Abläufe korrekt anwenden. Zur Umsetzung ist es sinnvoll die Dokumentation im Rahmen eines Onboarding-Prozesses bekanntzugeben und bei allen Änderungen eine automtatische Benachrichtigung aller zuständigen Personen oder Rollen anzustoßen." + } + ] + } + ] + }, + { + "id": "DET.1.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Regelmäßige Überprüfung", + "params": [ + { + "id": "det.1.2-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "9801627a-0646-41fe-81d8-945e7b58da50" + } + ], + "label": "regelmäßig" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "9801627a-0646-41fe-81d8-945e7b58da50" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "DET.1.2_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Übungs- und Prüfplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Verfahren und Regelungen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{regelmäßig}} und anlassbezogen auf Aktualität" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überprüfen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Detektion MUSS die Verfahren und Regelungen {{ insert: param, det.1.2-prm1 }} und anlassbezogen auf Aktualität überprüfen." + }, + { + "id": "DET.1.2_gdn", + "name": "guidance", + "prose": "Eine geplante Überprüfung der etablierten Verfahren und Regelungen dient dazu festzustellen, ob diese noch wirksam, effizient und an die aktuellen Gegebenheiten angepasst sind. Eine anlassbezogene Überprüfung wird durch spezifische Ereignisse ausgelöst, wie etwa einen schwerwiegenden Sicherheitsvorfall, eine strategische Neuausrichtung der IT oder neue gesetzliche Anforderungen. Der Zweck dieser Anforderung ist es, die kontinuierliche Verbesserung und Anpassungsfähigkeit des Prozesses sicherzustellen, da veraltete Regelungen neuen technologischen Entwicklungen oder Bedrohungen nicht mehr gerecht werden könnten; ein vor Jahren für monolithische Anwendungen konzipierter Prozess ist beispielsweise für agile Entwicklungsmethoden oder Microservice-Architekturen ungeeignet. Die regelmäßige Überprüfung kann die Effektivität des Sicherheitsmanagements langfristig aufrechterhalten und die Resilienz der Institution stärken." + } + ] + } + ] + }, + { + "id": "DET.2", + "title": "Meldung von Ereignissen", + "props": [ + { + "name": "label", + "value": "2" + }, + { + "name": "alt-identifier", + "value": "81dbe58a-e702-4407-970c-7a07d9e48b0a" + } + ], + "controls": [ + { + "id": "DET.2.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Meldeverfahren", + "props": [ + { + "name": "alt-identifier", + "value": "d1646dc3-5cdb-44a5-999a-d41785bdd34b" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + } + ], + "parts": [ + { + "id": "DET.2.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Arbeitsanweisung" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "ein Meldeverfahren" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Detektion SOLLTE ein Meldeverfahren verankern." + }, + { + "id": "DET.2.1_gdn", + "name": "guidance", + "prose": "Zweck ist es einerseits Nutzenden das schnelle Melden von potenziellen Sicherheitsproblemen zu ermöglichen und andererseits die zuständigen Stellen zu einer schnellen Reaktion auf Vorfälle anzuhalten." + } + ], + "controls": [ + { + "id": "DET.2.1.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Sofortmaßnahmen Nutzender", + "props": [ + { + "name": "alt-identifier", + "value": "89191db5-45b5-4e35-91b6-eb277d2427ac" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Kompetenzmanagement" + } + ], + "parts": [ + { + "id": "DET.2.1.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Arbeitsanweisung" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Regelungen für Sofortmaßnahmen durch Nutzende" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Detektion SOLLTE Regelungen für Sofortmaßnahmen durch Nutzende verankern." + }, + { + "id": "DET.2.1.1_gdn", + "name": "guidance", + "prose": "Beispiele für Sofortmaßnahmen sind der sofortige Stopp weiterer Tätigkeiten an betroffenen Systemen, die Dokumentation von Beobachtungen oder zu meldende Informationen (W-Fragen). Hierfür kann die IT-Notfallkarte „Verhalten bei IT-Notfällen“ des BSI genutzt werden." + } + ] + }, + { + "id": "DET.2.1.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Meldeformulare", + "props": [ + { + "name": "alt-identifier", + "value": "d6a025c2-5cca-49d0-ab04-54cd419e147e" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + } + ], + "parts": [ + { + "id": "DET.2.1.2_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Detektions-Konzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Meldeformulare" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "für Vorfallsmeldungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "installieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Detektion SOLLTE Meldeformulare für Vorfallsmeldungen installieren." + }, + { + "id": "DET.2.1.2_gdn", + "name": "guidance", + "prose": "Die Angabe des Meldezeitpunktes oder der Name des Meldenden, kann auch durch ein Formular automatisch ausgefüllt werden." + } + ] + }, + { + "id": "DET.2.1.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Rückmeldungen", + "props": [ + { + "name": "alt-identifier", + "value": "c961b1c8-2f6a-4e6d-9126-e2005c44f728" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + } + ], + "parts": [ + { + "id": "DET.2.1.3_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Detektions-Konzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "ein Verfahren für Rückmeldungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Detektion SOLLTE ein Verfahren für Rückmeldungen verankern." + }, + { + "id": "DET.2.1.3_gdn", + "name": "guidance", + "prose": "Rückmeldungen an Personen, die potenzielle Vorfälle gemeldet haben, sind hilfreich, da sie zum besseren Verständnis beitragen, worauf bei künftigen Meldungen zu achten ist und wie die Meldenden zur Bearbeitung des Vorfalls beitragen können. Ohne Rückmeldung könnte Unsicherheit entstehen, ob ein Vorfall überhaupt aufgenommen oder ernst genommen wurde, was zu Frustration oder einer sinkenden Bereitschaft zur Meldung künftiger Ereignisse führen könnte. Eine zeitnahe und angemessene Rückmeldung kann dagegen die Nutzenden in ihrem sicherheitsbewussten Verhalten bestärken, die Relevanz ihrer Meldung verdeutlichen und Missverständnisse vermeiden. So kann beispielsweise eine Rückmeldung nach einem gemeldeten Phishing-Versuch klarstellen, ob es sich um einen bekannten Angriff handelte oder ob zusätzliche Maßnahmen wie das Zurücksetzen eines Passworts empfohlen werden. Ebenso kann eine Rückmeldung nach einem gemeldeten Systemausfall erläutern, ob dieser sicherheitsrelevant war oder eine rein technische Störung vorlag. Ein Rückmeldeverfahren kann in diesem Kontext als ein strukturierter Ablauf definiert werden, über den die meldende Person nach Eingang ihrer Meldung eine Information über den Status, die Relevanz und – falls sinnvoll – empfohlene Folgeschritte erhält. Ein automatisiertes Ticketsystem kann beispielsweise sofortige Eingangsbestätigungen generieren und Statusänderungen kommunizieren. Ebenso kann eine abgestufte Rückmeldepflicht sinnvoll sein, bei der kritische Vorfälle eine priorisierte persönliche Rückmeldung durch Fachpersonal erhalten, während unkritische Meldungen standardisierte Mitteilungen bekommen. Technische Hilfsmittel wie Mail-Vorlagen, interne Chatbots oder Self-Service-Portale können die Effizienz erhöhen" + } + ] + } + ] + }, + { + "id": "DET.2.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Security Operations Center", + "params": [ + { + "id": "det.2.2-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "1af88c3b-a13c-4d74-a099-f230c9f71f55" + } + ], + "label": "dediziertem Personal" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "1af88c3b-a13c-4d74-a099-f230c9f71f55" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + } + ], + "parts": [ + { + "id": "DET.2.2_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Detektions-Konzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Erkennung, Beurteilung und initiale Behandlung von Vorfällen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{dediziertem Personal}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "zuweisen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Detektion KANN die Erkennung, Beurteilung und initiale Behandlung von Vorfällen {{ insert: param, det.2.2-prm1 }} zuweisen." + }, + { + "id": "DET.2.2_gdn", + "name": "guidance", + "prose": "Ein Security Operations Center (SOC) ist eine organisatorische Einheit, deren dedizierte Aufgabe die Überwachung von sicherheitskritischen Ereignissen, sowie die Reaktion auf Sicherheitsvorfälle ist. Für die Definition eines sicherheitskritischen Ereignisses, siehe Glossar (Namensräume des Grundschutz++). Aufgrund der Komplexität und besonderen Bedeutung der Aufgabe leisten Spezialisten für Detektion und Reaktion auf Sicherheitsvorfälle einen wichtigen Beitrag zur effektiven Informationssicherheit einer Institution. Werden diese Aufgaben von speziell hierfür geschultem Personal übernommen und nicht „nebenbei“ von Betriebspersonal, so werden Zielkonflikte zwischen Informationssicherheit und reibungslosem Betrieb vermieden und die Qualität der Sicherheitsbeurteilungen steigt. Kann durch ein selbst betriebenes SOC oder einen Dienstleister realisiert werden." + } + ] + }, + { + "id": "DET.2.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Ständiger Bereitschaftsdienst", + "props": [ + { + "name": "alt-identifier", + "value": "3f07d773-fef4-4bf1-9ec4-d803e7767a4b" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "parts": [ + { + "id": "DET.2.3_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Detektions-Konzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "einen ständigen Bereitschaftsdienst" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Detektion KANN einen ständigen Bereitschaftsdienst verankern." + }, + { + "id": "DET.2.3_gdn", + "name": "guidance", + "prose": "Dies erfordert, dass 24/7 eine Person bereitgehalten wird, welche bei sicherheitsrelevanter Alarmierung umgehend die Behebung des Vorfalls aufnimmt. Welche Ereignisse kritisch sind, ist dabei von der Kritikalität der betroffenen Systeme oder Anwendungen abhängig. Für die Definition eines sicherheitskritischen Ereignisses, siehe Glossar (Namensräume des Grundschutz++)." + } + ] + } + ] + }, + { + "id": "DET.3", + "title": "Protokollierung", + "props": [ + { + "name": "label", + "value": "3" + }, + { + "name": "alt-identifier", + "value": "f89a51b5-45ec-43ba-8ebd-c079b7780802" + } + ], + "controls": [ + { + "id": "DET.3.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Protokollierung sicherheitsrelevanter Ereignisse", + "params": [ + { + "id": "det.3.1-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "dc58d353-86e1-4070-9f86-b7f0e0f93305" + } + ], + "label": "eine bestimmte Frist" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "dc58d353-86e1-4070-9f86-b7f0e0f93305" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + } + ], + "parts": [ + { + "id": "DET.3.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Detektions-Konzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Sicherheitsrelevante Ereignisse" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "mindestens für {{eine bestimmte Frist}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "protokollieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Detektion für Anwendungen SOLLTE Sicherheitsrelevante Ereignisse mindestens für {{ insert: param, det.3.1-prm1 }} protokollieren." + }, + { + "id": "DET.3.1_gdn", + "name": "guidance", + "prose": "Für die Definition eines Sicherheitsrelevanten Ereignisses, siehe Glossar (Namensräume des Grundschutz++). Relevant sind hierbei insbesondere die Protokollierung auf zentralen Diensten und Servern. Dazu gehören auch vorhandene Cloud-Anwendungen oder -Dienste. Hier besteht ein enger Bezug zur Praktik Änderungen und Tests." + } + ], + "controls": [ + { + "id": "DET.3.1.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Authentifizierungen", + "props": [ + { + "name": "alt-identifier", + "value": "c25354d3-ed8f-4bac-ad0c-f0641d1b7f84" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "DET.3.1.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Audit Log" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Authentifizierungen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "bei Erfolg und Fehlschlag" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "protokollieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Detektion für IT-Systeme SOLLTE Authentifizierungen bei Erfolg und Fehlschlag protokollieren." + }, + { + "id": "DET.3.1.1_gdn", + "name": "guidance", + "prose": "Relevant sind dabei z.B. die lokale Anmeldung, Anmeldung und Zugriffe auf Schnittstellen des Systems über das Netz, oder auch die physische Authentifizierung an einem Zutrittskontrollsystem." + } + ] + }, + { + "id": "DET.3.1.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Ausgeführte Kommandozeilenbefehle", + "props": [ + { + "name": "alt-identifier", + "value": "cd3be1eb-6b18-4e69-98c5-a584e7daa9f2" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Living off the land" + } + ], + "parts": [ + { + "id": "DET.3.1.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Audit Log" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "ausgeführte Kommandozeilenbefehle" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "protokollieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Detektion für IT-Systeme SOLLTE ausgeführte Kommandozeilenbefehle protokollieren." + }, + { + "id": "DET.3.1.2_gdn", + "name": "guidance", + "prose": "Angreifer nutzen Kommandozeilenfunktionen wie Bash oder Windows PowerShell, um mit Bordmitteln schädliche Befehle auszuführen. Hier sind vor allem Living-off-the-Land-Binaries (LOLBins) und Nutzlasten (Malware Payloads) zu nennen." + } + ] + }, + { + "id": "DET.3.1.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Anbindung von Peripheriegeräten", + "props": [ + { + "name": "alt-identifier", + "value": "b0d1ef63-3c21-4d01-a5ad-82c23f113994" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "DET.3.1.3_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Audit Log" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "das Anschließen von Peripheriegeräten" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "protokollieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Detektion für IT-Systeme SOLLTE das Anschließen von Peripheriegeräten protokollieren." + }, + { + "id": "DET.3.1.3_gdn", + "name": "guidance", + "prose": "Das Protokollieren der Anbindung von Peripheriegeräten kann helfen, Manipulationsversuche an IT-Systemen frühzeitig zu erkennen und nachzuvollziehen. Ohne ein solches Protokoll könnte beispielsweise ein unbefugtes Speichermedium angeschlossen und vertrauliche Daten unbemerkt entwendet werden, oder es könnte Schadsoftware über ein USB-Gerät eingeschleust werden. Auch manipulierte Eingabegeräte könnten genutzt werden, um Tastatureingaben auszulesen oder unbemerkt Befehle einzuschleusen. Unter Peripheriegeräten sind in diesem Kontext externe Komponenten (aus Hardware oder virtuell) zu verstehen, die ein IT-System erweitern oder mit diesem verbunden werden – etwa USB-Sticks, externe Festplatten, Smartphones im Lade- oder Datenmodus, Drucker oder auch spezialisierte Geräte wie Diagnose- oder Messinstrumente. Zur praktischen Umsetzung kann eine Institution beispielsweise auf Betriebssystemfunktionen zurückgreifen, die Geräteanschlüsse im System-Log erfassen, oder ergänzende Endpoint-Management-Lösungen einsetzen, die eine zentralisierte Protokollierung erlauben." + } + ] + }, + { + "id": "DET.3.1.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Systemfehler", + "props": [ + { + "name": "alt-identifier", + "value": "f04839ae-7df6-4518-a726-994a329e910a" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "DET.3.1.4_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Audit Log" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Fehlermeldungen des Systems" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "protokollieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Detektion für IT-Systeme SOLLTE Fehlermeldungen des Systems protokollieren." + }, + { + "id": "DET.3.1.4_gdn", + "name": "guidance", + "prose": "Die Protokollierung von Fehlermeldungen kann eine wesentliche Grundlage für die Früherkennung von Sicherheits- und Stabilitätsproblemen in IT-Systemen bilden. Ohne ein systematisches Logging könnte ein kritischer Hardwaredefekt, eine beschädigte Systemdatei oder ein fehlgeschlagener Sicherheits-Update-Prozess unentdeckt bleiben und dadurch die Integrität oder Verfügbarkeit von IT-Systemen gefährden. Ebenso könnte ein Angreifer, der wiederholt unautorisierte Befehle ausführt oder Dienste fehlerhaft anspricht, unbemerkt bleiben, wenn die resultierenden Fehlermeldungen nicht nachvollzogen werden. Auf technischer Ebene kann es zweckmäßig sein, das native Logging des Betriebssysteme zu aktivieren und so zu konfigurieren, dass Fehlermeldungen konsistent erfasst werden – beispielsweise über Syslog-Dienste oder Windows-Event-Logs. Eine zentrale Log-Sammlung kann helfen, auch bei verteilten Systemen eine einheitliche Auswertung vorzunehmen." + } + ] + }, + { + "id": "DET.3.1.5", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Störungen der Netzerreichbarkeit", + "props": [ + { + "name": "alt-identifier", + "value": "39faab52-c5ca-4971-8f00-6eb34319cb55" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "DET.3.1.5_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Audit Log" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Störungen der Netzerreichbarkeit" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "protokollieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Detektion für IT-Systeme KANN Störungen der Netzerreichbarkeit protokollieren." + }, + { + "id": "DET.3.1.5_gdn", + "name": "guidance", + "prose": "Eine Störung der Netzerreichbarkeit kann ein Indiz für Überlastungen, Fehler oder Angriffe im Netz sein. Wann eine Störung vorliegt, kann anhand von Schwellwerten, z.B. durch das Ausbleiben eines regelmäßigen Heartbeat-Paketes, getestet werden." + } + ] + }, + { + "id": "DET.3.1.6", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Systemspezifische Ereignisse", + "params": [ + { + "id": "det.3.1.6-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "42287f3d-c1ce-4109-bda1-87d1fd892993" + } + ], + "label": "bestimmte systemspezifische Ereignisse" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "42287f3d-c1ce-4109-bda1-87d1fd892993" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "parts": [ + { + "id": "DET.3.1.6_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Audit Log" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{bestimmte systemspezifische Ereignisse}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "protokollieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Detektion für IT-Systeme KANN {{ insert: param, det.3.1.6-prm1 }} protokollieren." + }, + { + "id": "DET.3.1.6_gdn", + "name": "guidance", + "prose": "Bestimmte systemspezifische Ereignisse meint hier, dass von der Instiution konkret festgehalten wurde, welche für das System relevanten Ereignisse im Einzelnen protokolliert werden. Beispiele sind Aktionen mit spezifisch konfigurierten privilegierten Berechtigungen, Prozessaktivitäten des Betriebssystems, wie das Starten eines Systemprozesses, Dateierzeugung oder das Laden eines Treibers, die Modifikation von Systemkonfigurationsdateien oder die Installation oder Deinstallation von Systemdiensten und Anwendungen, sowie das Herunterfahren oder Neustarten des Systems. Die Festlegung, welche dieser oder weiterer systemspezifischer Ereignisse protokolliert werden, obliegt der Institution und hängt von der jeweiligen Systemumgebung und dem Schutzbedarf ab." + } + ] + }, + { + "id": "DET.3.1.7", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Was, Wann, Wo", + "props": [ + { + "name": "alt-identifier", + "value": "c4cb825e-c401-44a5-8ecf-de12b33e6a16" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "links": [ + { + "href": "#KONF.4.5", + "rel": "required" + } + ], + "parts": [ + { + "id": "DET.3.1.7_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Audit Log" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "zu jedem sicherheitsrelevanten Ereignis" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "mindestens Zeitpunkt, die Quelle und das Zielobjekt" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "protokollieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Detektion für Anwendungen SOLLTE zu jedem sicherheitsrelevanten Ereignis mindestens Zeitpunkt, die Quelle und das Zielobjekt protokollieren." + }, + { + "id": "DET.3.1.7_gdn", + "name": "guidance", + "prose": "Für die Definition eines Sicherheitsrelevanten Ereignisses, siehe Glossar (Namensräume des Grundschutz++). Damit einem Ereignis zuverlässig ein bestimmter Zeitpunkt zugewiesen werden kann, ist eine einheitliche Zeitquelle für die Systemuhr (meist über NTP oder PTP) als Voraussetzung erforderlich. Bei der Protokollierung der Herkunft oder Quelle (z.B. Gerätenamen, IP-Adresse) besteht ein enger Zusammenhang zu Compliance-Anforderungen, etwa zum Datenschutz." + } + ] + }, + { + "id": "DET.3.1.8", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Privilegierte Ereignisse", + "props": [ + { + "name": "alt-identifier", + "value": "e7d500ff-393c-4c14-baed-c87b676efe5c" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + } + ], + "parts": [ + { + "id": "DET.3.1.8_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Audit Log" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "privilegierte Ereignisse" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "einschließlich der Aktivierung, Deaktivierung oder Blockierung privilegierter Funktionen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "protokollieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Detektion für Anwendungen SOLLTE privilegierte Ereignisse einschließlich der Aktivierung, Deaktivierung oder Blockierung privilegierter Funktionen protokollieren." + }, + { + "id": "DET.3.1.8_gdn", + "name": "guidance", + "prose": "Privilegierte Ereignisse sind Vorgänge, bei denen besonders weitreichende Rechte genutzt werden – beispielsweise die Vergabe oder Entziehung von Administratorrechten, das Deaktivieren von Virenscannern oder Änderungen an Firewallregeln. Gerade solche Eingriffe könnten einen erheblichen Einfluss auf die Verfügbarkeit und Integrität von Daten haben. Ohne eine gezielte Aufzeichnung könnten sicherheitsrelevante Änderungen unentdeckt bleiben – etwa, wenn ein Angreifer unbefugt einen privilegierten Account übernimmt und Spuren verwischt, oder wenn ein interner Benutzer kritische Funktionen deaktiviert, wodurch Schutzmaßnahmen umgangen werden." + } + ] + }, + { + "id": "DET.3.1.9", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Fehler der Anwendung", + "props": [ + { + "name": "alt-identifier", + "value": "8a99b098-7642-4fec-996c-cbe94e7f88e6" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "DET.3.1.9_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Audit Log" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Fehlermeldungen der Anwendung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "protokollieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Detektion für Anwendungen SOLLTE Fehlermeldungen der Anwendung protokollieren." + }, + { + "id": "DET.3.1.9_gdn", + "name": "guidance", + "prose": "Fehlermeldungen können wichtige Hinweise auf technisches Versagen oder menschliches Fehlverhalten liefern. Insbesondere, wenn Fehlermeldungen neuartig sind, oder gehäuft auftreten, können sie Indiz für Probleme sein, die behandlungsbedürftig sind. Denken Sie insbesondere auch an Fehlermeldungen in automatisierten Prozessen, da diese möglicherweise sonst nicht zur Kenntnisnahme gelangen." + } + ] + }, + { + "id": "DET.3.1.10", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Nutzungsstatistik", + "props": [ + { + "name": "alt-identifier", + "value": "bcc48221-ad2b-4989-a754-23a167a08176" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + } + ], + "parts": [ + { + "id": "DET.3.1.10_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Audit Log" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine Nutzungsstatistik" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "protokollieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Detektion für Anwendungen KANN eine Nutzungsstatistik protokollieren." + }, + { + "id": "DET.3.1.10_gdn", + "name": "guidance", + "prose": "Bei der statistischen Protokollierung werden z.B. Anzahl oder Durchschnittswerte gespeichert, nicht jedoch die genaue Herkunft oder der Zeitstempel bestimmter Ereignisse. Nutzungsstatistiken wahren die Privatsphäre der einzelnen Nutzenden, ermöglichen jedoch eine Erkennung von Fehlern oder Anomalien in der Nutzung. Beispiele sind die Anzahl von Anfragen für eine bestimmte Ressource (etwa Webserver-URL oder DNS-Name), Anzahl der Anfragen einer bestimmten Anfrageart, Geräte- oder Anwendungskategorien (etwa pro Browseragent oder Betriebssystemversion), Anzahl bestimmter Antworttypen (z.B. Webserver-Fehlercodes), sowie Zugriffsversuche. Hierdurch können Betriebsprobleme wie Caching Fehler oder DoS-Angriffe erkannt werden." + } + ] + }, + { + "id": "DET.3.1.11", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Anwendungsspezifische Ereignisse", + "params": [ + { + "id": "det.3.1.11-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "80fa36d5-71d4-4a2e-9795-54cedffa44ae" + } + ], + "label": "bestimmte anwendungsspezifische Ereignisse" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "80fa36d5-71d4-4a2e-9795-54cedffa44ae" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + } + ], + "parts": [ + { + "id": "DET.3.1.11_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Audit Log" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{bestimmte anwendungsspezifische Ereignisse}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "protokollieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Detektion für Anwendungen KANN {{ insert: param, det.3.1.11-prm1 }} protokollieren." + }, + { + "id": "DET.3.1.11_gdn", + "name": "guidance", + "prose": "Die Festlegung, welche spezifischen Ereignisse protokolliert werden, obliegt der Institution und hängt von der jeweiligen Systemumgebung und dem Schutzbedarf ab. Beispiele sind Änderungen an Zugangskonten im Verzeichnisdienst, Telekommunikationsverbindungen, ein Verstoß gegen eine konfigurierte Policy, unautorisierter Zugriff, API-Aufrufe zwischen verschiedenen Anwendungskomponenten, Transaktionen in einem Finanzsystem oder einer E-Commerce-Anwendung, Konfigurationsänderungen oder ein Absturz der Anwendung. Die Protokollierung dieser Ereignisse kann helfen, die Behandlung durch das Betriebspersonal anzustoßen oder Indizien für Ermittler zu sichern." + } + ] + }, + { + "id": "DET.3.1.12", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Datenverarbeitungen", + "props": [ + { + "name": "alt-identifier", + "value": "ca3be46d-c9ce-45b0-8da9-e4f83f123e6d" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "parts": [ + { + "id": "DET.3.1.12_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Daten" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Audit Log" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Verarbeitung von Daten" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "protokollieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Detektion für Daten KANN die Verarbeitung von Daten protokollieren." + }, + { + "id": "DET.3.1.12_gdn", + "name": "guidance", + "prose": "Bei Daten mit hohem Schutzbedarf kann es sinnvoll sein, bestimmte Verarbeitungen (z.B. Zugriffe, Veränderungen, Löschung, Datenexporte) zu protokollieren. Änderungen können mit Versionsverwaltungssystemen automatisch protokolliert werden. Beispiele sind Zugriffe auf Dateifreigaben, Webportale oder Datenbank-Abfragen durch eine Anwendung, der Export von Verbindungsdaten auf dem TK-Server, oder der Versand von Nachrichten mit bestimmten Schlüsselnwörtern." + } + ] + }, + { + "id": "DET.3.1.13", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Integration von Cloud-Diensten", + "props": [ + { + "name": "alt-identifier", + "value": "681494bd-8d1d-4b34-84f6-abab2f4ea751" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "parts": [ + { + "id": "DET.3.1.13_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Cloud-Dienste" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Audit Log" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Ereignisse in der Cloud" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "im Audit Log der Institution" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "protokollieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Detektion für Cloud-Dienste KANN Ereignisse in der Cloud im Audit Log der Institution protokollieren." + }, + { + "id": "DET.3.1.13_gdn", + "name": "guidance", + "prose": "Daten in Cloud-Diensten könnten von Angreifern über das Internet angegriffen werden, ohne dass Ereignisse im internen Netz hierauf Rückschlüsse geben. Dies könnte zum Beispiel durch Phishing geschehen, wodurch ein OAuth Token für den Cloud-Zugang missbraucht wird. Die Integration der Logs des Cloud-Dienstleisters in die institutionseigene Protokollierung kann hier helfen, z.B. bei Authentifizierung oder Berechtigungsänderungen, sowie bei Zugriff oder Veränderung von Daten. Insbesondere die Integration des Loggings mit einer bedingten Zugriffsrichtlinie kann hier helfen, z.B. indem Zugriffe von ungewöhnlichen IP-Adressen oder Browser Agents auf Angriffe hinweisen können. Die Integration von Cloud-Protokollen in ein internes Logging birgt oft erhebliche Herausforderungen, darunter die Bewältigung des enormen Volumens und der Vielfalt an Datenformaten, was durch selektive Protokollierung, Datennormalisierung und -anreicherung angegangen werden kann. Die Absicherung der Datenpipeline gegen Man-in-the-Middle-Angriffe kann durch die Einhaltung der technischen Anforderungen an die beteiligten IT-Systeme und Anwendungen bewältigt werden, z.B. Verschlüsselung und Authentifizierung. Da Cloud-Anbieter oftzusätzliche Gebühren für den Datentransfer (Egress-Kosten) verlangen bietet es sich an, die Protokolle vor der Übertragung zu filtern, um die Kosten für die Verbesserung der Sicherheit gering zu halten." + } + ] + } + ] + }, + { + "id": "DET.3.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Filterung nicht benötigter Inhalte", + "params": [ + { + "id": "det.3.2-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "fa239d57-3934-4664-bc2d-53aca634eaef" + } + ], + "label": "Kriterien" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "fa239d57-3934-4664-bc2d-53aca634eaef" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "parts": [ + { + "id": "DET.3.2_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Detektions-Konzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Protokollierung nicht benötigter Inhalte" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "anhand von {{Kriterien}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "einschränken" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Detektion KANN die Protokollierung nicht benötigter Inhalte anhand von {{ insert: param, det.3.2-prm1 }} einschränken." + }, + { + "id": "DET.3.2_gdn", + "name": "guidance", + "prose": "Je nach Anwendung und Konfigurationeinstellungen könnten Protokolle auch Daten enthalten, die dort nicht benötigt werden, z.B. um die Vertraulichkeit der Daten zu wahren oder aufgrund von Compliance-Anforderungen. Dem kommt eine noch höhere Bedeutung zu, wenn die Protokolle zwischen Institutionen ausgetauscht, oder bei Cloud-Dienstleistern gespeichert oder analysiert werden. Maßnahmen können z.B. Anonymisierung von IP-Adressen oder anderen personenbezogenen Daten oder Geschäftsgeheimnissen, sowie enge Löschfristen sein. Für Verkehrsdaten kann der BfDI Leitfaden Speicherung Verkehrsdaten als Grundlage genutzt werden. Soweit möglich, ist es sinnvoll, die Filterung minimalinvasiv zu gestalten, d.h. nur diejenigen Daten auszufiltern, deren Speicherung nicht rechtlich oder tatsächlich möglich ist, die restlichen Angaben zum Ergebnis jedoch zu protokollieren." + } + ] + }, + { + "id": "DET.3.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Speicherkapazität", + "params": [ + { + "id": "det.3.3-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "558dc6ab-ba8e-47bb-ba24-ddf09be49ec0" + } + ], + "label": "bei Erreichen eines bestimmten Schwellwertes oder regelmäßig" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "558dc6ab-ba8e-47bb-ba24-ddf09be49ec0" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + } + ], + "parts": [ + { + "id": "DET.3.3_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Detektions-Konzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "den für die Protokollierung zur Verfügung stehenden Speicherplatz" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{bei Erreichen eines bestimmten Schwellwertes oder regelmäßig}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überprüfen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Detektion SOLLTE den für die Protokollierung zur Verfügung stehenden Speicherplatz {{ insert: param, det.3.3-prm1 }} überprüfen." + }, + { + "id": "DET.3.3_gdn", + "name": "guidance", + "prose": "Diese Vorschrift zielt darauf ab, die Verfügbarkeit der Protokolldaten sicherzustellen. Das ist essenziell, da eine unterbrochene oder lückenhafte Aufzeichnung die Früherkennung von Angriffen unmöglich machen könnte, was dazu führen könnte, dass kritische forensische Beweise für eine Untersuchung fehlen. Die Umsetzung dieser Anforderung kann auf verschiedene Arten erfolgen. Es könnte ein Skript oder ein automatisierter Dienst eingesetzt werden, der den Füllstand des Speicherplatzes in regelmäßigen Abständen, zum Beispiel alle 15 Minuten oder einmal pro Stunde, prüft. Alternativ kann eine Überprüfung bei einem definierten Schwellenwert durchgeführt werden, etwa wenn 80 % oder 90 % des zugewiesenen Speicherplatzes belegt sind. Zur Behebung könnte bei Kapazitätsengpässen eine automatische Archivierung älterer Protokolldaten auf einem separaten, kostengünstigeren Speicher gestartet werden, um den primären Speicher zu entlasten. Es kann aber auch eine Rotationsstrategie für Log-Dateien konfiguriert werden, die bei Erreichen einer bestimmten Größe oder eines Alters die ältesten Dateien löscht oder archiviert." + } + ] + }, + { + "id": "DET.3.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Revisionssicherheit", + "props": [ + { + "name": "alt-identifier", + "value": "1cd947a7-70a2-41c9-b3fd-90f3ef75838c" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Insider Threat" + } + ], + "parts": [ + { + "id": "DET.3.4_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Detektions-Konzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Änderungen am Audit Log" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "revisionssicher" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Detektion SOLLTE Änderungen am Audit Log revisionssicher dokumentieren." + }, + { + "id": "DET.3.4_gdn", + "name": "guidance", + "prose": "Wenn die Protokollaufzeichnung unzureichend vor Veränderung geschützt ist, könnten Innentäter diese manipulieren oder löschen, um nicht erkannt oder belangt zu werden. Hierzu gehört auch, dass Administrierende die Protokolldaten zu ihren eigenen Tätigkeiten manipulieren oder löschen könnten. Die Integrität kann durch die Erstellung und getrennte Aufbewahrung von kryptografischen Hashes oder ein Versionskontrollsystem sichergestellt werden. Um sicherzustellen, dass nur autorisierte Personen die Protokolle verändern können, können z.B. Verschlüsselung und getrennte Aufbewahrung des Schlüssels, einmalig beschreibare Datenträger, oder ein Protokollierungsserver/SIEM mit stark eingeschränkten Zugriffsrechten eingesetzt werden. Auch die Aufzeichnung in einer öffentlichen Transparenzdatei ist möglich, wenn die Protokolle keine vertraulichen Daten enthalten." + } + ] + }, + { + "id": "DET.3.5", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Unbestreitbarkeit", + "params": [ + { + "id": "det.3.5-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "1d98ecfc-cf7a-4cf5-a108-169802a7b364" + } + ], + "label": "bestimter Ereignisse" + }, + { + "id": "det.3.5-prm2", + "props": [ + { + "name": "alt-identifier", + "value": "1d98ecfc-cf7a-4cf5-a108-169802a7b364" + } + ], + "label": "einer bestimmten Person oder Rolle" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "1d98ecfc-cf7a-4cf5-a108-169802a7b364" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Insider Threat" + } + ], + "parts": [ + { + "id": "DET.3.5_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Daten" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Detektions-Konzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Nachweise für den Zusammenhang {{bestimter Ereignisse}} mit {{einer bestimmten Person oder Rolle}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Detektion für Daten KANN Nachweise für den Zusammenhang {{ insert: param, det.3.5-prm1 }} mit {{ insert: param, det.3.5-prm2 }} dokumentieren." + }, + { + "id": "DET.3.5_gdn", + "name": "guidance", + "prose": "Für Handlungen, die eine besondere Bedeutung für die rechtliche Compliance oder die korrekte Verarbeitung von Daten in kritischen Geschäftsprozessen haben, kann es sinnvoll sein, eine zweifelsfreie Zuordnung des Ereignisses zu einer Person zu gewährleisten. Beispiele können das Senden von Nachrichten als Geschäftsleitung, die Überweisung hoher Beträge auf Konten im Ausland oder der Zugang einer Nachricht mit großer rechtlicher Bedeutung sein. Für einen zweifelsfreien Nachweis reicht die einfache Zuordnung zu einem Zugangskonto oft nicht aus, da das Konto auch von anderen missbraucht worden sein könnte. Zum Nachweis können verschiedene Maßnahmen eingesetzt werden: Digitale Signaturen auf Basis asymmetrischer Kryptographie können die Urheberschaft von Dokumenten verifizieren, während Zeitstempel von vertrauenswürdigen Zeitservern die chronologische Integrität sicherstellen. Eine dezentrale Speicherung der Logs auf verschiedenen Systemen erschwert Manipulationsversuche; ergänzend erhöht die Implementierung einer Blockchain-Technologie mit verketteten Hashwerten die Fälschungssicherheit erheblich. Hardwarebasierte Sicherheitsmodule (HSMs) können kryptografische Schlüssel vor unbefugtem Zugriff schützen." + } + ] + } + ] + }, + { + "id": "DET.4", + "title": "Überwachung von Aktivitäten", + "props": [ + { + "name": "label", + "value": "4" + }, + { + "name": "alt-identifier", + "value": "d1295ff6-7958-42f2-9e5e-987b0ed117dc" + } + ], + "controls": [ + { + "id": "DET.4.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Überwachung der Protokollierung", + "props": [ + { + "name": "alt-identifier", + "value": "33c4b36a-263c-4380-9cc4-ab89c3995c22" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + } + ], + "parts": [ + { + "id": "DET.4.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Detektions-Konzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Funktionsfähigkeit der Protokollierung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überwachen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Detektion SOLLTE die Funktionsfähigkeit der Protokollierung überwachen." + }, + { + "id": "DET.4.1_gdn", + "name": "guidance", + "prose": "Zu den Kriterien kann beispielsweise die Aktivierung oder Deaktkvierung des Loggings auf Systemen, sowie die Datenmenge eingehender Logs in einem bestimmten Zeitraum gehören." + } + ] + }, + { + "id": "DET.4.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Automatische Angriffserkennung", + "params": [ + { + "id": "det.4.2-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "d1691e68-55a6-4b71-8d55-08a10eaeb4a5" + } + ], + "label": "einen automatisierten Mechanismus" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "d1691e68-55a6-4b71-8d55-08a10eaeb4a5" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "parts": [ + { + "id": "DET.4.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Detektions-Konzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "diese auf Anzeichen für Angriffe" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "durch {{einen automatisierten Mechanismus}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überwachen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Detektion für IT-Systeme SOLLTE diese auf Anzeichen für Angriffe durch {{ insert: param, det.4.2-prm1 }} überwachen." + }, + { + "id": "DET.4.2_gdn", + "name": "guidance", + "prose": "Wenn professionelle Tätergruppen Zugriff auf Systeme und Daten erhalten, nutzen sie diese zunehmend schneller für ihre Zwecke aus, z.B. um Daten abfließen zu lassen oder Ransomware zu verteilen. Zur Umsetzung können sowohl netz- als auch hostbasierte Erkennungssysteme (NIDS und HIDS) verwendet werden. Für die Detektion bei IT-Systemen ohne Installationsmöglichkeit wie Appliances, IoT-Geräte oder OT-Systeme kann ein kombinierter Ansatz aus Netzwerk- und Loganalyse sinnvoll sein. Angriffe können signaturbasiert, sowie durch Verhaltensanalyse und Anomalien erkannt werden. Die Anforderung kann auch mit bereits vorhandenen oder im System integrierten Angriffserkennungsmechanismen erfüllt werden. Zweckmäßig ist es Schwellwerte und Kategorien (Info, Warnung, Alarm) so festzulegen, dass Probleme frühzeitig erkannt werden können, aber beim Betriebspersonal keine Alarmmüdigkeit (alert fatigue) aufkommt. Hierzu ist es hilfreich die Ergebnisse regelmäßig auszuwerten und wenn nötig Korrekturmaßnahmen zu ergreifen." + } + ] + }, + { + "id": "DET.4.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Überwachung der Angriffserkennung", + "props": [ + { + "name": "alt-identifier", + "value": "c31c5572-5982-4840-8dc3-ada7052bbb6a" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + } + ], + "parts": [ + { + "id": "DET.4.3_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Detektions-Konzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Funktionsfähigkeit der automatisierten Angriffserkennung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überwachen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Detektion SOLLTE die Funktionsfähigkeit der automatisierten Angriffserkennung überwachen." + }, + { + "id": "DET.4.3_gdn", + "name": "guidance", + "prose": "Hierzu gehört insbesondere die Aktivierung oder Deaktivierung der Angriffserkennung, oder das Stoppen zugehöriger Dienste." + } + ] + }, + { + "id": "DET.4.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Änderungen an Sicherheitsrichtlinien", + "props": [ + { + "name": "alt-identifier", + "value": "a71bbf22-4b3a-41d0-8ec8-6de7a9790040" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "DET.4.4_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Detektions-Konzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Änderungen an Sicherheitsrichtlinien" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "einschließlich deren Aktivierung oder Deaktivierung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überwachen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Detektion SOLLTE Änderungen an Sicherheitsrichtlinien einschließlich deren Aktivierung oder Deaktivierung überwachen." + }, + { + "id": "DET.4.4_gdn", + "name": "guidance", + "prose": "Wird die Aktivität von automatisierten Sicherheitswerkzeugen nicht überwacht, so könnten Angreifer diese Schutzmechanismen unbemerkt deaktivieren und die Person so in falscher Sicherheit wiegen. Zudem installieren Angreifer gerne permanente Hintertüren über neue Konten oder Gruppenwechsel. Automatisierte Sicherheitsrichtlinien sind z.B. Ausnahmelisten von Antivirus- oder EDR, über den Verzeichnisdienst hinzugefügte Gruppenzugehörigkeiten zu sicherheitsrelevanten Gruppen (z.B. Admin), NAC oder Firewallregeln." + } + ] + }, + { + "id": "DET.4.5", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Unerwünschte Datenabflüsse", + "props": [ + { + "name": "alt-identifier", + "value": "67fb7507-f287-48da-a16d-f07d46b0aeb0" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Data Leak" + } + ], + "parts": [ + { + "id": "DET.4.5_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Detektions-Konzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "unerwünschte Datenabflüsse" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überwachen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Detektion KANN unerwünschte Datenabflüsse überwachen." + }, + { + "id": "DET.4.5_gdn", + "name": "guidance", + "prose": "Unerwünschte Datenabflüsse beziehen sich hier auf jede unautorisierte Übertragung sensibler Informationen aus internen IT-Systemen oder Anwendungen nach außen (engl. data leakage oder data exfiltration). Darunter fallen sowohl absichtliche als auch unbeabsichtigte Transfers, etwa über Endgeräte, Netzwerkkanäle oder Cloud-Schnittstellen, wobei Data Loss Prevention (DLP) als Sammelbegriff für technische und organisatorische Maßnahmen dient, die solche Abflüsse erkennen oder verhindern können. Die Überwachung kann gewährleisten, dass vertrauliche Inhalte nicht unbemerkt der Kontrolle entzogen werden. Herkunft und Ziel solcher Abflüsse können zusätzlich Indikatoren für kompromittierte Zugangskonten oder Fehlkonfigurationen liefern. Der Zweck der Vorschrift liegt darin, potenzielle Datenabflüsse frühzeitig sichtbar zu machen, sodass aufkommende Risiken wie der Verlust von personenbezogenen Datensätzen oder vertraulichen Forschungsunterlagen erkannt werden können; andernfalls könnte ein Angreifer persistente Kommunikationskanäle nutzen, um über längere Zeit unbemerkt Daten abzuziehen. Eine wirksame Überwachung kann dabei Anomalien identifizieren, die auf Missbrauch, Malware-Aktivität oder Fehlbedienungen hindeuten, und kann die Integrität sowie Vertraulichkeit schützenswerter Informationen erhöhen. Mögliche Varianten der Umsetzung können auf datei- und inhaltsbasierter DLP-Analyse, Netzwerk-DLP über definierte inspection points, Monitoring von Cloud-Workloads mittels API-gestützter DLP-Funktionen oder Endpoint-DLP basierend auf Richtlinien für Kopieren, Drucken oder Übertragungen über Wechselmedien beruhen." + } + ] + }, + { + "id": "DET.4.6", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Anomale Nutzung der Anwendung", + "props": [ + { + "name": "alt-identifier", + "value": "e0194ca3-39a2-4c07-9e7e-c4aad16597c6" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "DET.4.6_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Detektions-Konzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Nutzung der Anwendung auf Anomalien" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überwachen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Detektion für Anwendungen KANN die Nutzung der Anwendung auf Anomalien überwachen." + }, + { + "id": "DET.4.6_gdn", + "name": "guidance", + "prose": "Beispiele sind massenhafte Downloads von Dateiservern oder Cloud-Diensten, Datenbankabfragen die eine ungewöhnlich hohe Menge von Daten oder Einträgen, die unerreichbar sein sollen, zurückliefern, oder automatische E-Mail-Weiterleitungen an externe Domains." + } + ], + "controls": [ + { + "id": "DET.4.6.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Verhaltensanalyse von Zugangskonten", + "props": [ + { + "name": "alt-identifier", + "value": "cd3e1fde-3095-4518-b906-ca18824839b8" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Advanced Persistent Threats (APT), Command & Control, Data Exfiltration, Insider Threat, Living off the land" + } + ], + "parts": [ + { + "id": "DET.4.6.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Verzeichnisdienste" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Detektions-Konzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "das Verhalten von Zugangskonten" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überwachen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Detektion für Verzeichnisdienste KANN das Verhalten von Zugangskonten überwachen." + }, + { + "id": "DET.4.6.1_gdn", + "name": "guidance", + "prose": "User and Entity Behaviour Analytics (UEBA) nutzt moderne Verfahren einschließlich KI, um Anomalien im Verhalten von Zugangskonten oder Systemen zu erkennen, z.B. Anmeldungen zu ungewöhnlichen Zeiten, von ungewöhnlichen Orten, durch Verwendung veralteter Authentifzierungsverfahren wie NTLMv1 oder die Ausführung ungewöhnlicher Anwendungen. Ungewöhnliches Verhalten kann Anzeichen für netzbasierte Angriffe oder Innentäter sein. Allerdings gilt es hierbei auch rechtliche Vorgaben zum Datenschutz und betriebliche Mitbestimmungsrechte zu beachten. Ein sinnvoller Maßstab für die Ausgestaltung von Umfang und Detailltiefe der Überwachung können die Geschäfts- und Sicherheitsziele sein. Sinnvoll ist es hierbei begleitende Maßnahmen zur Compliance einzuführen, beispielsweise das manuelle Analysen nur unter bestimmten Voraussetzungen oder Beteiligungen vorgenommen werden." + } + ] + } + ] + }, + { + "id": "DET.4.7", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Auslaufen von Domains", + "props": [ + { + "name": "alt-identifier", + "value": "631793e6-cc3f-49cf-a6aa-f7672688f007" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "parts": [ + { + "id": "DET.4.7_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Webserver" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Detektions-Konzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "das Auslaufen von Domains" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überwachen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Detektion für Webserver KANN das Auslaufen von Domains überwachen." + }, + { + "id": "DET.4.7_gdn", + "name": "guidance", + "prose": "Wenn Registrierungsfristen und Verlängerungszeiträume nicht im Blick behalten werden, könnte eine Domain aus Versehen verfallen und damit einhergehend Erreichbarkeits­probleme, Vertrauensverluste oder gar Sicherheits­lücken entstehen. Als Beispiele können Domains dienen, die für Web­auftritte, E‑Mail-Systeme oder API-Endpunkte genutzt werden. Ebenso kann es sich um Subdomains handeln, die für interne Tools, Test­umgebungen oder automatisierte Monitoring­dienste registriert sind. Auch Domains, die nur der Weiterleitung auf Haupt­präsenzen dienen oder die für Zertifikats­ver­waltung (z. B. ACME-Challenges) verwendet werden, können unter diese Überwachung fallen. Jede dieser Anwendungsfälle kann potenziell betroffen sein, wenn die Registrierung unbemerkt abläuft. Hilfreich ist hierfür ein zentrales Inventar aller genutzten Domains in dem Registrierungs­daten (Ablaufdatum, Registrar, Kontakt­email) erfasst werden. Automatisierte Scripts oder Aufgaben­tickets können eingerichtet werden, die in festgelegten Abständen (z. B. 60, 30 und 7 Tage vor Ablauf) eine Benachrichtigung auslösen. Auch Monitoring-Plattformen mit DNS-Plugins können verwendet werden, um Fristen zu prüfen und Erinnerungen zu generieren. Zusätzlich kann eine Prozess­beschreibung definiert werden, in der Verantwortlichkeiten und Eskalations­wege bei nahendem Domain­ablauf festgehalten sind, um schnelle Entscheidungen und Verlängerungen zu ermöglichen." + } + ] + }, + { + "id": "DET.4.8", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Ausstellung neuer HTTPS-Zertifikate", + "props": [ + { + "name": "alt-identifier", + "value": "25f3ecb6-15f9-483f-a195-a976e36e89b8" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "parts": [ + { + "id": "DET.4.8_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Webserver" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Detektions-Konzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die rechtzeitige Ausstellung neuer HTTPS-Zertifikate für Server, die im Internet erreichbar sind," + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überwachen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Detektion für Webserver KANN die rechtzeitige Ausstellung neuer HTTPS-Zertifikate für Server, die im Internet erreichbar sind, überwachen." + }, + { + "id": "DET.4.8_gdn", + "name": "guidance", + "prose": "Dies kann mittels Certificate Transparency teilautomatisiert werden. Mit \"rechtzeitig\" ist hier vor Ablauf des Zertifikats gemeint." + } + ] + }, + { + "id": "DET.4.9", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Manipulations-Checkup", + "params": [ + { + "id": "det.4.9-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "77b66ddb-2066-47f6-b6f7-b5b447287b59" + } + ], + "label": "regelmäßig" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "77b66ddb-2066-47f6-b6f7-b5b447287b59" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "parts": [ + { + "id": "DET.4.9_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Detektions-Konzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "das System auf Manipulationsversuche" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{regelmäßig}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überprüfen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Detektion für IT-Systeme KANN das System auf Manipulationsversuche {{ insert: param, det.4.9-prm1 }} überprüfen." + }, + { + "id": "DET.4.9_gdn", + "name": "guidance", + "prose": "Falls Systeme einem erhöhten Manipulationsrisiko ausgesetzt sind (z.B. wegen öffentlicher Aufstellung), die Vertraulichkeit oder Integrität des Systems oder damit verbundener Daten oder Netze jedoch nicht vernachlässigenswert ist, so ist eine regelmäßige Überprüfung auf Manipulationen empfehlenswert. Hierfür können Gerätesiegel verwendet werden. Maßnahmen bei Feststellung einer Manipulation können z.B. das Zurücksetzen auf den Werkszustand oder die Aussonderung sein." + } + ] + }, + { + "id": "DET.4.10", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Host-basierte Köder", + "props": [ + { + "name": "alt-identifier", + "value": "dcdb44ac-280a-424b-bd4f-9264137d6895" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Zero Trust, Advanced Persistent Threats (APT), Honeypot" + } + ], + "links": [ + { + "href": "#DET.4.11.2", + "rel": "related" + } + ], + "parts": [ + { + "id": "DET.4.10_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Detektions-Konzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Host-basierte Köder" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "installieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Detektion für IT-Systeme KANN Host-basierte Köder installieren." + }, + { + "id": "DET.4.10_gdn", + "name": "guidance", + "prose": "Köder sind Anwendungen, Dateien oder Datensätze auf dem IT-System, welche die Aufmerksamkeit von Angreifern auf sich ziehen, um diese zu entdecken, nachzuverfolgen oder von echten Zielen abzulenken. Sie werden auch als Canaries oder Tripwire bezeichnet. Beispielsweise kann das Sicherheitsteam eine gefälschte, aber verlockende Datei (z. B. „IBAN-Kontodaten.xlsx“) im System platzieren und eine Überwachung einrichten, die sie benachrichtigt, wenn die Datei berührt wird - da legitime Benutzer nicht darauf zugreifen können, signalisiert jede Interaktion potenziell unbefugte Aktivitäten. Ein weiteres Beispiel ist eine Datei „unattended.xml“, da sie für Angreifer nützliche Anmeldedaten für automatische Installationen enthalten könnte. Indem Sie eine gefälschte Version mit harmlosen Daten erstellen und den Zugriff auf die Datei oder Anmeldeversuche mit diesen Zugangsdaten überwachen, erhalten Sie eine frühzeitige Warnung, wenn jemand Ihr System auf der Suche nach einfachen Möglichkeiten zur Erlangung von Administratorrechten durchforstet, so dass Sie reagieren können, bevor es zu einem schwerwiegenderen Verstoß kommt. Allerdings kann es hierbei zu falsch-positiv Vorfallsmeldungen kommen, insbesondere wenn die Köder dort platziert werden wo sie für legitime Nutzende leicht zugänglich sind." + } + ] + }, + { + "id": "DET.4.11", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Anomalien in Netzen und am Perimeter", + "props": [ + { + "name": "alt-identifier", + "value": "e6cf2c48-c49f-4c10-9cca-252d903b0979" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Command & Control, Lateral Movement, Data Exfiltration" + } + ], + "parts": [ + { + "id": "DET.4.11_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Netze" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Detektions-Konzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "den Netzwerkverkehr auf Anomalien" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überwachen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Detektion für Netze SOLLTE den Netzwerkverkehr auf Anomalien überwachen." + }, + { + "id": "DET.4.11_gdn", + "name": "guidance", + "prose": "Beispiele sind ausgehende Netzverbindungen zu als bösartig bekannten oder gänzlich unbekannten DNS-Domains oder IP-Adressen, Anzeichen für DNS-Tunneling (ungewöhnlich lange Subdomains oder Spitzenwerte für TXT-Mengen), ungewöhnlich hohes Datenvolumen zu Cloud-Speicherlösungen, sowie unautorisierte Portscans oder Brute Force Angriffe auf Fernwartungsschnittstellen wie RDP oder SSH sein. Hierdurch können Verbindungen zu Angreiferservern (C2 Beacons), die Ausbreitung von Angriffen über das Netz, oder Datenabflüsse erkannt werden." + } + ], + "controls": [ + { + "id": "DET.4.11.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Authentifizierungsversuche an externen Schnittstellen", + "params": [ + { + "id": "det.4.11.1-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "1fc84b56-0931-439d-9b5a-4642926e0d04" + } + ], + "label": "regelmäßig" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "1fc84b56-0931-439d-9b5a-4642926e0d04" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Zero Trust, Advanced Persistent Threats (APT), Command & Control" + } + ], + "parts": [ + { + "id": "DET.4.11.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Externe Netzanschlüsse" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Detektions-Konzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Authentifizierungsversuche auf unauthorisierte Verbindungen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{regelmäßig}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überprüfen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Detektion für Externe Netzanschlüsse KANN Authentifizierungsversuche auf unauthorisierte Verbindungen {{ insert: param, det.4.11.1-prm1 }} überprüfen." + }, + { + "id": "DET.4.11.1_gdn", + "name": "guidance", + "prose": "Ohne solche Überprüfungen könnte ein Angreifer unbemerkt wiederholt Zugangsdaten erraten (Brute-Force- oder Wörterbuchangriffe) oder unautorisierte Geräte an Schnittstellen wie VPN-Gateways, Firewalls oder externen Modems anbinden. Auch ein unbemerktes Einschleusen von Schadsoftware über offene Remote-Desktop- oder SSH-Verbindungen könnte langfristig unentdeckt bleiben. Eine kontinuierliche Auswertung von Anmeldeversuchen kann dagegen Auffälligkeiten wie ungewöhnlich viele Fehlversuche, Anmeldungen aus geografisch atypischen Regionen oder Verbindungsaufbau außerhalb üblicher Betriebszeiten aufzeigen und so eine wirksame Schutzwirkung entfalten. Als Frist können Intervalle wie \"täglich\", \"wöchentlich\" oder \"in Echtzeit\" je nach Kritikalität des Anschlusses angemessen sein. Verbindungen sind hier unautorisiert, wenn Anzeichen vorliegen, dass sie von unautorisierten Personen oder von unautorisierten Systemen stammen. Die Überprüfung kann manuell oder durch automatische Analyse von Logdateien erfolgen. Empfehlenswert ist eine kontinuierliche Überwachung. Dabei kann z.B. nach ungewöhnlichen vielen fehlgeschlagenen Anmeldungen, veralteten Berechtigungen, Einwahlen von Adminaccounts, ungewöhnlichen Einwahlorten/IP-Adressbereichen/User Agents oder Uhrzeiten gesucht werden. Als Reaktion kommen z.B. Sperren betroffener Adressbereiche, die Abschaltung angegriffener Schnittstellen oder stärkere Authentifizierungsmechanismen wie Mehr-Faktor-Authentifizierung in Betracht." + } + ] + }, + { + "id": "DET.4.11.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Netzwerk-Honeypots", + "props": [ + { + "name": "alt-identifier", + "value": "7715c6ec-8cf9-446c-807a-783d61ebd539" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Zero Trust, Advanced Persistent Threats (APT), Honeypot" + } + ], + "links": [ + { + "href": "#DET.4.10", + "rel": "related" + } + ], + "parts": [ + { + "id": "DET.4.11.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Netze" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Detektions-Konzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Netzwerk-Honeypots" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "installieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Detektion für Netze KANN Netzwerk-Honeypots installieren." + }, + { + "id": "DET.4.11.2_gdn", + "name": "guidance", + "prose": "Honeypots sind Systeme, die das Verhalten eines Betriebsservers simulieren, um bei netzbasierten Angriffen Informationen über den Angriff zu erhalten. Geeignet sind z.B. vermeintliche Rechnungsbearbeitungssysteme oder Datenbank-Server. Alarmierungsereignisse können hier z.B. Login-Versuche oder unerwartete API-Abfragen sein. Allerdings kann es hierbei zu falsch-positiv Vorfallsmeldungen kommen, insbesondere wenn die Honeypots dort platziert werden, wo sie für legitime Nutzende leicht zugänglich sind, oder wenn legitime Netzwerkscans bereits eine Alarmierung auslösen. Daher ist es sinnvoll, die konkreten Einsatzgegebenheiten in einer Risikoanalyse zu betrachten und den möglichen Detektionsmehrwert mit den potenziellen Risiken solcher falsch-positiv Meldungen abzuwägen." + } + ] + }, + { + "id": "DET.4.11.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Netzverkehrsfluss", + "params": [ + { + "id": "det.4.11.3-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "80109af2-9ed7-4aca-807e-aae712dc8e18" + } + ], + "label": "Kriterien" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "80109af2-9ed7-4aca-807e-aae712dc8e18" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lateral Movement" + } + ], + "parts": [ + { + "id": "DET.4.11.3_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Netze" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Audit Log" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "auf kritische Netzverkehrsflüsse" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "anhand von {{Kriterien}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überwachen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Detektion für Netze KANN auf kritische Netzverkehrsflüsse anhand von {{ insert: param, det.4.11.3-prm1 }} überwachen." + }, + { + "id": "DET.4.11.3_gdn", + "name": "guidance", + "prose": "Ein Netzverkehrsfluss ist eine Aufzeichnung von Verkehrsdaten einer Netzwerkverbindung (wie Quell-/Ziel-IP, Ports, Protokoll, übertragene Datenmenge und Zeitdauer). Die Aufzeichnung des gesamten Verkehrs (Packet Capture) des vollständigen Inhalts aller Datenpakete ist hierzu nicht erforderlich, sodass die zu untersuchende Datenmenge überschaubar bleibt. Allerdings sind hier Compliance-Anforderungen zur Datenspeicherung relevant. Für datenschutzrechtliche Fragen zu Verkehrsdaten kann der BfDI Leitfaden Speicherung Verkehrsdaten als Grundlage genutzt werden. Beispiele für Kriterien sind die Aufzeichnung an wichtigen Netzgrenzen (DMS-Internet), in kritischen Netzen, zwischen Serversystemen oder bei Leistungsproblemen." + } + ] + } + ] + }, + { + "id": "DET.4.12", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Monitoring der Netzverfügbarkeit", + "params": [ + { + "id": "det.4.12-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "3757d23d-e17e-4bae-857e-c045505d579a" + } + ], + "label": "Schwellwerten" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "3757d23d-e17e-4bae-857e-c045505d579a" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "parts": [ + { + "id": "DET.4.12_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Netze" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Detektions-Konzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Verfügbarkeit des Netzes" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "anhand von {{Schwellwerten}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überwachen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Detektion für Netze SOLLTE die Verfügbarkeit des Netzes anhand von {{ insert: param, det.4.12-prm1 }} überwachen." + }, + { + "id": "DET.4.12_gdn", + "name": "guidance", + "prose": "Die Verfügbarkeit von Netzen, insbesondere des Internetanschlusses, sowie im Kern- und Verteilernetz, ist von zentraler Bedeutung für die Verfügbarkeit von IT-Infrastrukturen. Ein Monitoring ermöglicht es dem Betriebspersonal, bei Netzproblemen reagieren zu können, bevor Beschwerden von Nutzenden aufkommen. Kann durch Hello-Packete von Netzkomponenten oder die Erreichbarkeit von Diensten über das Netz umgesetzt werden." + } + ], + "controls": [ + { + "id": "DET.4.12.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Auslastung des Netzes", + "params": [ + { + "id": "det.4.12.1-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "c17dd877-0922-4ca8-a38b-1d2f9ae04f0d" + } + ], + "label": "Schwellwerten" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "c17dd877-0922-4ca8-a38b-1d2f9ae04f0d" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + } + ], + "parts": [ + { + "id": "DET.4.12.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Netze" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Detektions-Konzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Auslastung des Netzes" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "anhand von {{Schwellwerten}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überwachen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Detektion für Netze KANN die Auslastung des Netzes anhand von {{ insert: param, det.4.12.1-prm1 }} überwachen." + }, + { + "id": "DET.4.12.1_gdn", + "name": "guidance", + "prose": "Die Überwachung der Netzauslastung ermöglicht eine schnelle Reaktion bei Verfügbarkeitsproblemen. Wichtige Indikatoren sind Auslastung der verfügbaren Bandbreite, Netzlatenz und Packverluste. Unerwartet hoher Datenverkehr kann auch ein Indiz für einen unautorisierten Zugriff auf große Datenmengen sein. Zur Umsetzung ist es zweckmäßig zunächst Normwerte zu ermitteln (Baselining)." + } + ] + } + ] + }, + { + "id": "DET.4.13", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Verfügbarkeit des Hostsystems", + "params": [ + { + "id": "det.4.13-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "b186a9e9-cce6-4bb5-8e70-ac17499c71d8" + } + ], + "label": "Schwellwerten" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "b186a9e9-cce6-4bb5-8e70-ac17499c71d8" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "DET.4.13_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Hostsysteme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Detektions-Konzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Netzerreichbarkeit" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "anhand von {{Schwellwerten}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überwachen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Detektion für Hostsysteme SOLLTE die Netzerreichbarkeit anhand von {{ insert: param, det.4.13-prm1 }} überwachen." + }, + { + "id": "DET.4.13_gdn", + "name": "guidance", + "prose": "Schwellwerte (engl. thresholds) sind hier Grenzwerte, die als Maßstab für die normale oder erwartete Netzerreichbarkeit des Hostsystems dienen. Diese Schwellwerte könnten beispielsweise eine bestimmte Anzahl an Fehlversuchen zur Erreichbarkeit in einem definierten Zeitfenster oder eine überdurchschnittlich hohe Anzahl an Verbindungsanfragen sein, die auf ungewöhnliche Netzwerkaktivität hindeuten. Ein Server könnte beispielsweise aufgrund eines Denial-of-Service-Angriffs (DoS) nicht mehr erreichbar sein, wodurch Dienste für Nutzende ausfallen. Ebenso könnte eine unerwartete Nichterreichbarkeit auf einen Hardwaredefekt, einen Konfigurationsfehler oder einen internen Angriff hindeuten, bei dem der Server vom Netz getrennt wurde, um Spuren zu verwischen. Die Überwachung anhand von Schwellwerten kann der Institution dabei helfen, solche Vorfälle frühzeitig zu erkennen und zu reagieren, bevor sie größeren Schaden anrichten. Die Überwachung kann über ein internes Monitoring-System umgesetzt werden, das kontinuierlich die Erreichbarkeit der Server mittels sogenannter Health-Checks oder Probes prüft. Dabei kann beispielsweise ein automatisches Ping-Verfahren eingesetzt werden, das in regelmäßigen Abständen die Antwortzeit des Servers misst. Die festgelegten Schwellwerte könnten zum Beispiel die maximal erlaubte Anzahl an aufeinanderfolgenden fehlgeschlagenen Ping-Antworten oder die durchschnittliche Antwortzeit sein." + } + ] + }, + { + "id": "DET.4.14", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Verfügbarkeit der Anwendung", + "params": [ + { + "id": "det.4.14-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "170aaef0-d7a1-49be-a219-7ef13c8be738" + } + ], + "label": "Schwellwerten" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "170aaef0-d7a1-49be-a219-7ef13c8be738" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + } + ], + "parts": [ + { + "id": "DET.4.14_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Detektions-Konzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Netzerreichbarkeit" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "anhand von {{Schwellwerten}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überwachen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Detektion für Anwendungen SOLLTE die Netzerreichbarkeit anhand von {{ insert: param, det.4.14-prm1 }} überwachen." + }, + { + "id": "DET.4.14_gdn", + "name": "guidance", + "prose": "Dabei wird die Erreichbarkeit des Dienstes der Anwendung selbst, z.B. auf den bereitstellenden Servern, nicht nur die Erreichbarkeit des Systems überwacht." + } + ] + }, + { + "id": "DET.4.15", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Ressourcenauslastung von Hostsystemen", + "params": [ + { + "id": "det.4.15-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "7cfa26e7-7fe5-4a6a-999b-489c9785821e" + } + ], + "label": "Schwellwerten" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "7cfa26e7-7fe5-4a6a-999b-489c9785821e" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "DET.4.15_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Hostsysteme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Detektions-Konzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Ressourcenauslastung" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "anhand von {{Schwellwerten}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überwachen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Detektion für Hostsysteme SOLLTE die Ressourcenauslastung anhand von {{ insert: param, det.4.15-prm1 }} überwachen." + }, + { + "id": "DET.4.15_gdn", + "name": "guidance", + "prose": "Hierzu zählt z.B. die Auslastung der CPU, des Arbeitsspeichers, des Festspeichers. Dazu ist es sinnvoll vorab Schwellwerte zu ermitteln (KPI Baselining). Mögliche Reaktionsmaßnahmen bei zu hoher Auslastung sind z.B. die Lastverteilung auf mehrere Host-Rechner oder die Beschränkung der Ressourcennutzung pro Client." + } + ] + }, + { + "id": "DET.4.16", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Ressourcenauslastung der Server-Dienste", + "params": [ + { + "id": "det.4.16-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "f094dca7-3bfb-477b-8a50-da1587033e4d" + } + ], + "label": "Schwellwerten" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "f094dca7-3bfb-477b-8a50-da1587033e4d" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "DET.4.16_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Detektions-Konzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Ressourcenauslastung der für die Anwendung verwendeten Server-Dienste" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "anhand von {{Schwellwerten}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überwachen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Detektion für Anwendungen KANN die Ressourcenauslastung der für die Anwendung verwendeten Server-Dienste anhand von {{ insert: param, det.4.16-prm1 }} überwachen." + }, + { + "id": "DET.4.16_gdn", + "name": "guidance", + "prose": "Hierzu zählt z.B. die Auslastung der CPU, des Arbeitsspeichers, des Festspeichers und Anzahl der verbundenen Clients. Dazu ist es sinnvoll vorab Schwellwerte zu ermitteln (KPI Baselining). Mögliche Reaktionsmaßnahmen bei zu hoher Auslastung sind z.B. die Lastverteilung auf mehrere Host-Rechner oder die Beschränkung der Ressourcennutzung pro Client." + } + ] + }, + { + "id": "DET.4.17", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Anwendungsbasiertes Kapazitätsmanagement", + "params": [ + { + "id": "det.4.17-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "93561982-927d-461c-a0eb-c9aec0b1159d" + } + ], + "label": "Schwellwerten" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "93561982-927d-461c-a0eb-c9aec0b1159d" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "DET.4.17_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Detektions-Konzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Ressourcenauslastung systemübergreifend" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "anhand von {{Schwellwerten}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überwachen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Detektion für Anwendungen KANN die Ressourcenauslastung systemübergreifend anhand von {{ insert: param, det.4.17-prm1 }} überwachen." + }, + { + "id": "DET.4.17_gdn", + "name": "guidance", + "prose": "Hierbei kann nicht nur die aktuelle Auslastung einzelner Server, sondern die Auslastung der Anwendung insgesamt, auch über einen längeren Zeitverlauf inklusive Lastspitzen und Durchschnittswerten, betrachtet werden." + } + ] + }, + { + "id": "DET.4.18", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Öffentliche Blocklisten", + "params": [ + { + "id": "det.4.18-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "e180774d-4880-4ef4-bc08-5c06e034dbc9" + } + ], + "label": "regelmäßig" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "e180774d-4880-4ef4-bc08-5c06e034dbc9" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "parts": [ + { + "id": "DET.4.18_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "E-Mail" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Detektions-Konzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "öffentliche Blocklisten auf Einträge für eigene E-Mail-Server" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{regelmäßig}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überprüfen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Detektion für E-Mail KANN öffentliche Blocklisten auf Einträge für eigene E-Mail-Server {{ insert: param, det.4.18-prm1 }} überprüfen." + }, + { + "id": "DET.4.18_gdn", + "name": "guidance", + "prose": "Die Überprüfung von E-Mail-Blocklisteneinträgen ist entscheidend, um sicherzustellen, dass Nachrichten zuverlässig zugestellt und nicht als Spam klassifiziert werden. Dazu kann zunächst mit Tools wie MXToolbox oder MultiRBL geprüft werden, ob und auf welchen Listen der Server geführt wird, um anschließend die genauen Ursachen zu ermitteln – häufig spielen kompromittierte Konten, unzureichende Authentifizierungsmethoden oder veraltete E-Mail-Listen eine Rolle. Nach der Identifikation können Admins die grundlegenden Probleme beheben, beispielsweise durch Implementierung von SPF-, DKIM- und DMARC-Protokollen, Bereinigung von E-Mail-Listen oder Beseitigung technischer Schwachstellen, bevor bei den jeweiligen Blocklistenbetreibern ein Antrag auf Entfernung gestellt werden kann, wobei in der Regel Nachweise für die durchgeführten Verbesserungen erforderlich sind; zur langfristigen Prävention kann eine regelmäßige Überwachung der Senderreputation, sowie die Einhaltung bewährter E-Mail-Praktiken beitragen, oder die Nutzung eines seriösen E-Mail-Dienstleisters in Betracht gezogen werden." + } + ] + }, + { + "id": "DET.4.19", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Unautorisierte Sendeanlagen", + "params": [ + { + "id": "det.4.19-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "d85d0d64-bc5c-4a11-91d8-7c567abd5b21" + } + ], + "label": "einen automatisierten Mechanismus" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "d85d0d64-bc5c-4a11-91d8-7c567abd5b21" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Rogue Access Point" + } + ], + "parts": [ + { + "id": "DET.4.19_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Räume" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Detektions-Konzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "diesen nach unautorisierten Sendeanlagen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "durch {{einen automatisierten Mechanismus}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überwachen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Detektion für Räume KANN diesen nach unautorisierten Sendeanlagen durch {{ insert: param, det.4.19-prm1 }} überwachen." + }, + { + "id": "DET.4.19_gdn", + "name": "guidance", + "prose": "Bleiben unautorisierte Sendeanlagen unbemerkt, so könnten hierüber Abhörversuche stattfinden oder Störungen legitimer Sender und Empfänger auftreten. Bedenklich sind beispielsweise versteckte Wanzen in Büromöbeln, manipulierte Peripheriegeräte mit eingebauten Sendern, ohne Erlaubnis mitgebrachte Access Points, modifizierte Smartphones mit verdeckten Fernzugriffsfunktionen oder getarnte IoT-Geräte mit Netzwerkverbindung, die sensible Informationen abgreifen und nach außen übertragen könnten. Zum Aufspüren können Wireless Intrusion Detection Systems (WIDS) genutzt werden, welche Sendeanagen auffinden und unbekannte Sender melden. Um unautorisierte Sender effektiv zu erkennen sind auch begleitende Maßnahmen sinnvoll: Die Implementierung von Zugangsbeschränkungen und Mitnahmeverboten für nicht geprüfte elektronische Geräte; die Schulung des Personals zur Erkennung verdächtiger Objekte; sowie die Dokumentation aller autorisierten Geräte in einem Inventar, um unbekannte Signalquellen schnell identifizieren zu können." + } + ] + } + ] + }, + { + "id": "DET.5", + "title": "Management von Schwachstellen", + "props": [ + { + "name": "label", + "value": "5" + }, + { + "name": "alt-identifier", + "value": "053a7519-64e7-4569-96e1-05dd10d73588" + } + ], + "controls": [ + { + "id": "DET.5.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Zeitnahes Schwachstellenmanagement", + "props": [ + { + "name": "alt-identifier", + "value": "43918e89-a15c-490e-9cb5-94444c7e9299" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Advanced Persistent Threats (APT)" + } + ], + "parts": [ + { + "id": "DET.5.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Schwachstellenregister" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Verfahren und Regelungen zur Erkennung und Behandlung von Schwachstellen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Detektion SOLLTE Verfahren und Regelungen zur Erkennung und Behandlung von Schwachstellen verankern." + }, + { + "id": "DET.5.1_gdn", + "name": "guidance", + "prose": "Relevant können hierbei verschiedene Arten von Schwachstellen sein (z.B. Physisch und im Netz, Orte, Adressbereiche, Anwendungen und Ports). Zur Erkennung können Schwachstellenscans, Pentests und ein Abgleich der eigenen Infrastruktur mit öffentlichen Schwachstellendatenbanken genutzt werden. Zur Beurteilung der Kritikalität können Scoring-Systeme wie CVSS oder Berichte der betroffenen Hersteller oder Dienstleister herangezogen werden. Zur Behandlung können z.B. Sicherheitspatches, die Deaktivierung betroffener (Teil-)Funktionen oder Komponenten oder die Isolierung betroffenen Systeme oder Anwendungen in Frage kommen. Für Details siehe ISO/IEC 30111." + } + ], + "controls": [ + { + "id": "DET.5.1.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Risikobasierte Priorisierung", + "params": [ + { + "id": "det.5.1.1-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "a9af82d7-44b8-412c-b8a0-becbda9b1da9" + } + ], + "label": "risikobasierten Kriterien" + }, + { + "id": "det.5.1.1-prm2", + "props": [ + { + "name": "alt-identifier", + "value": "a9af82d7-44b8-412c-b8a0-becbda9b1da9" + } + ], + "label": "einer Frist" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "a9af82d7-44b8-412c-b8a0-becbda9b1da9" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Advanced Persistent Threats (APT)" + } + ], + "parts": [ + { + "id": "DET.5.1.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Schwachstellenregister" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "erkannte Schwachstellen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "anhand von {{risikobasierten Kriterien}} innerhalb {{einer Frist}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überprüfen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Detektion KANN erkannte Schwachstellen anhand von {{ insert: param, det.5.1.1-prm1 }} innerhalb {{ insert: param, det.5.1.1-prm2 }} überprüfen." + }, + { + "id": "DET.5.1.1_gdn", + "name": "guidance", + "prose": "Bei einer risikobasierten Priorisierung wird nicht nur die Ausnutzbarkeit der Schwachstelle im Allgemeinen, z.B. durch einen CVS-Score, zur Priorisierung herangezogen, sondern die Beurteilung erfolgt durch eine Kombination solcher generellen Informationen mit dem individuellen Risikoprofil der betroffenen Assets. Dies ermöglicht es, Schwachstellen deutlich passgenauer zu beurteilen und die wirklich kritischen Schwachstellen zuerst zu patchen oder mitigieren. Hierzu können CVSS-Score, Informationen aus der Threat Intelligence und aus der Risikobewertung von Geschäftsprozessen kombiniert werden. Hierbei können auch automatisierte Verfahren angewendet werden, z.BMultiplikation von Kennzahlen zur Risikobewertung und von CVSS in Kombination mit Schwellwerten. Ergebnisdokument kann z.B. eine Risikomatrix, oder eine eigene CVE-Bewertungsrubrik sein." + } + ] + } + ] + }, + { + "id": "DET.5.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Schwachstellenregister", + "props": [ + { + "name": "alt-identifier", + "value": "f7550d0a-cf51-4586-a4e8-0c3831a10a79" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "DET.5.2_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Schwachstellenregister" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Schwachstellen bei Entdeckung" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "inklusive betroffener Komponenten, Kritikalität und Status" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Detektion SOLLTE Schwachstellen bei Entdeckung inklusive betroffener Komponenten, Kritikalität und Status dokumentieren." + }, + { + "id": "DET.5.2_gdn", + "name": "guidance", + "prose": "Da die Aktualität des Schwachstellenregisters von großer Bedeutung ist, ist die manuelle Pflege von Schwachstellen in einem Dokument nicht empfehlenswert. Stattdessen können automatisiert gepflegte Datenbanken oder spezielle Schwachstellenmanagement-Tools genutzt werden. Das Schwachstellenregister kann auch als verteiltes Register gepflegt werden (z.B. in Schwachstellenscannern, Patchmanagement-Servern, etc.), allerdings ist hierbei eine einheitliche Beurteilung und Priorisierung aufwändiger." + } + ] + }, + { + "id": "DET.5.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Schwachstellenscans", + "props": [ + { + "name": "alt-identifier", + "value": "7f84ed26-e585-402f-bc0e-40904319cfc8" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "parts": [ + { + "id": "DET.5.3_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Detektions-Konzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine Vorgehensweise zum Scan nach Schwachstellen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "einschließlich deren Auswertung und Behandlung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Detektion SOLLTE eine Vorgehensweise zum Scan nach Schwachstellen einschließlich deren Auswertung und Behandlung verankern." + }, + { + "id": "DET.5.3_gdn", + "name": "guidance", + "prose": "Über das Netz erreichbare Schwachstellen bergen das Risiko, dass hierüber Angriffe in IT-Systeme und Anwendungen eindringen, Daten auslesen oder sich über das Netz verbreiten. Schwachstellenscans finden solche Lücken, indem sie Anfragen zu bekannten Schwachstellen im Netz stellen und die Antworten auswerten. Regelmäßige Scans tragen dazu bei, dass Sicherheitslücken entdeckt werden, bevor sie ausgenutzt werden." + } + ], + "controls": [ + { + "id": "DET.5.3.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Autorisierung kritischer Scans", + "params": [ + { + "id": "det.5.3.1-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "d19ef635-5438-4b4e-b75b-479764f39069" + } + ], + "label": "zuständige Personen oder Rollen" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "d19ef635-5438-4b4e-b75b-479764f39069" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + } + ], + "parts": [ + { + "id": "DET.5.3.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Detektions-Konzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "kritische Scans" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "durch {{zuständige Personen oder Rollen}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "autorisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Detektion SOLLTE kritische Scans durch {{ insert: param, det.5.3.1-prm1 }} autorisieren." + }, + { + "id": "DET.5.3.1_gdn", + "name": "guidance", + "prose": "Schwachstellenscans könnten aufgrund ihres Umfangs oder der breiten Abdeckung ihrer Aktivitäten selbst Fehlerzustände provozieren oder Schwachstellen auslösen. Wenn Scans besondere Berechtigungen benötigen - z.B. lokale Administrationsrechte oder Zugriff auf ein abgeschottetes Netz sensibler, betriebskritischer Systeme, so kann eine Autorisierung solcher Scans, vor der eine Abwägung der damit verbundenen Risiken vorgenommen wird, angezeigt sein." + } + ] + }, + { + "id": "DET.5.3.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Korrelation komplexer Angriffswege", + "props": [ + { + "name": "alt-identifier", + "value": "1221903d-e402-49b0-a7ac-763a11683a4b" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "DET.5.3.2_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Detektions-Konzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Schwachstellen anhand eines Abgleichs mehrerer Scans miteinander" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überprüfen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Detektion KANN Schwachstellen anhand eines Abgleichs mehrerer Scans miteinander überprüfen." + }, + { + "id": "DET.5.3.2_gdn", + "name": "guidance", + "prose": "Fortschrittliche Angreifer könnten mehrere, scheinbar unkritische Schwachstellen nacheinander ausnutzen, die erst in Kombination einen gefährlichen Angriff, etwa die Ausführung von Code aus der Ferne, erlauben. Um solche komplexen Angriffe zu erkennen, können Messergebnisse verschiedener Schwachstellenscanner miteinander abgeglichen werden. Komplexe Angriffswege können mit Methoden wie Attack Trees erkannt und bewertet werden." + } + ] + }, + { + "id": "DET.5.3.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Historische Analyse", + "props": [ + { + "name": "alt-identifier", + "value": "f64131d9-e0cd-4c01-937a-ea93d7a92371" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "DET.5.3.3_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Detektions-Konzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Schwachstellen in öffentlich erreichbaren Systemen oder Anwendungen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "anhand bekannter Anzeichen im Audit Log" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "testen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Detektion KANN Schwachstellen in öffentlich erreichbaren Systemen oder Anwendungen anhand bekannter Anzeichen im Audit Log testen." + }, + { + "id": "DET.5.3.3_gdn", + "name": "guidance", + "prose": "Die historische Analyse von Logdateien ermöglicht es, vergangene Systemaktivitäten systematisch zu untersuchen, um potenzielle Sicherheitsvorfälle zu identifizieren, die zum Zeitpunkt ihres Auftretens unbemerkt blieben. Nach der Entdeckung einer Schwachstelle kann so rückwirkend festgestellt werden, ob und wie diese bereits ausgenutzt wurde. Die Umsetzung kann durch Etablierung eines zentralisierten Log-Managements mit langer Aufbewahrungsdauer, Implementierung automatisierter Such- und Korrelationsalgorithmen zur Erkennung bekannter Angriffsmuster und Anomalien in den Logdaten, sowie durch forensische Analyse der Zeitstempel, Quell-IPs, Benutzeraktivitäten und Zugriffsversuche erfolgen. Bei der Feststellung von Schwachstellen in öffentlich zugänglichen Systemen ist es sinnvoll die Audit-Logs gezielt nach Indikatoren zu durchsuchen, die auf entsprechende Angriffsmuster hindeuten - darunter ungewöhnliche Zugriffszeiten, auffällige Authentifizierungsversuche, verdächtige Datenbankabfragen oder charakteristische Command-Injection-Versuche, wodurch potenzielle Kompromittierungen retrospektiv aufgedeckt und in ihrem vollen Umfang bewertet werden können." + } + ] + } + ] + }, + { + "id": "DET.5.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Regelmäßige Penetrationstests", + "params": [ + { + "id": "det.5.4-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "622f98fa-a211-4c1e-b655-5e9dd6c0d507" + } + ], + "label": "einer anerkannten Vorgehensweise" + }, + { + "id": "det.5.4-prm2", + "props": [ + { + "name": "alt-identifier", + "value": "622f98fa-a211-4c1e-b655-5e9dd6c0d507" + } + ], + "label": "regelmäßig" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "622f98fa-a211-4c1e-b655-5e9dd6c0d507" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Pentest, Advanced Persistent Threats (APT)" + } + ], + "links": [ + { + "href": "#TEST.3.1.10", + "rel": "related" + } + ], + "parts": [ + { + "id": "DET.5.4_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Detektions-Konzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die tatsächliche Abwehrfähigkeit" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "nach {{einer anerkannten Vorgehensweise}} {{regelmäßig}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überprüfen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Detektion für IT-Systeme KANN die tatsächliche Abwehrfähigkeit nach {{ insert: param, det.5.4-prm1 }} {{ insert: param, det.5.4-prm2 }} überprüfen." + }, + { + "id": "DET.5.4_gdn", + "name": "guidance", + "prose": "Ein Penetrationstest, oft auch als Pentest bezeichnet, ist eine von Sicherheitsexperten simulierte Cyberattacke, um Schwachstellen und Sicherheitslücken aufzudecken. Ziel ist es, komplexe Schwachstellen in konkreten Informationsumgebungen aufzuspüren, bevor sie von echten Angreifern ausgenutzt werden könnten. Dabei werden verschiedene Methoden und Techniken eingesetzt, die auch von Angreifern verwendet werden könnten, z.B. Informationssammlung, Scan und Ausnutzen von Schwachstellen, seitliches Ausbreiten über das Netz, sowie Versuche, durch Täuschung und Manipulation von Personen an Informationen oder Zugriff zu gelangen. Anerkannte Vorgehensweisen, die für Penetrationstests angewendet werden können, sind z.B. der BSI Praxis-Leitfaden für IS-Penetrationstests, OSSTMM, NIST SP 800-115, PTES (Penetration Testing Execution Standard), OWASP für Webanwendungen oder der Leitfaden für Penetrationstests von Large-Language-Modellen des Expertenkreises KI-Sicherheit. Pentests können von externen Dienstleistern oder internem Personal vorgenommen werden. Entscheidend für ein gutes Ergebnis ist hierbei neben einer standardisierten, strukturierten Vorgehensweise die Qualifikation der ausführenden Personen, da Penetrationstests die Ausforschung komplexer Angriffsmöglickeiten erfordern, die weit über den isolierten Einsatz einzelner Werkzeuge hinausgehen können. Pentesting von Außen enthält sowohl die Suche nach angreifbaren Schwachstellen aus dem Internet, als auch die vorhergehende Recherche, um angreifbare Informationen aufzuspüren (Open Source Intelligence). Zur konsequenten Überprüfung gehört auch, dass deren gefundene Schwachstellen im Rahmen des Schwachstellenmanagements zeitnah behandelt werden. Zweckmäßig ist es daher, gefundene Schwachstellen bestimmten zuständigen Personen oder Rollen zur Behebung zuzuweisen und diese innerhalb der Fristen des Schwachstellenmanagements zu schließen." + } + ] + }, + { + "id": "DET.5.5", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Red Teaming", + "params": [ + { + "id": "det.5.5-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "ea34243d-adc3-4208-ab4e-25247aa8c009" + } + ], + "label": "regelmäßig" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "ea34243d-adc3-4208-ab4e-25247aa8c009" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Pentest, Advanced Persistent Threats (APT)" + } + ], + "parts": [ + { + "id": "DET.5.5_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Detektions-Konzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die tatsächliche Abwehrfähigkeit" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{regelmäßig}} durch unabhängig agierende Sicherheitsexperten" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überprüfen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Detektion für IT-Systeme KANN die tatsächliche Abwehrfähigkeit {{ insert: param, det.5.5-prm1 }} durch unabhängig agierende Sicherheitsexperten überprüfen." + }, + { + "id": "DET.5.5_gdn", + "name": "guidance", + "prose": "Red Teaming ist ein strukturierter, realitätsnaher Sicherheitstest, bei dem ein sogenanntes Red Team – also ein unabhängiges, offensiv agierendes Expertenteam – versucht, unter realen Bedingungen in IT-Systeme, Netzwerke oder Anwendungen einzudringen, um Schwachstellen und Reaktionslücken aufzudecken. Dadurch wird nicht nur die technische Abwehr getestet, sondern auch organisatorische und menschliche Faktoren, etwa die Wirksamkeit von Incident-Response-Prozessen, Alarmierungsketten oder die Reaktion des Security Operations Center (SOC). Solche regelmäßigen Überprüfungen durch unabhängige Red Teams ermöglichen einen objektiven und unvoreingenommenen Blick auf die aktuellen Stärken und Schwächen der Sicherheitsmaßnahmen, wodurch Schwachstellen frühzeitig erkannt werden können. Unabhängig ist ein Red Team dabei, wenn es organisatorisch und personell getrennt vom Betriebspersonal und dessen Weisungshierarchie (Blue Team) agiert, sodass keine Interessenkonflikte die objektive Bewertung gefährden." + } + ] + }, + { + "id": "DET.5.6", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Threat Hunting", + "params": [ + { + "id": "det.5.6-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "ff549367-0992-4b06-a2c0-246915632cb1" + } + ], + "label": "regelmäßig" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "ff549367-0992-4b06-a2c0-246915632cb1" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Advanced Persistent Threats (APT)" + } + ], + "parts": [ + { + "id": "DET.5.6_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Detektions-Konzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "den Informationsverbund durch Sicherheitsexperten auf Anzeichen für Angriffe" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{regelmäßig}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überprüfen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Detektion KANN den Informationsverbund durch Sicherheitsexperten auf Anzeichen für Angriffe {{ insert: param, det.5.6-prm1 }} überprüfen." + }, + { + "id": "DET.5.6_gdn", + "name": "guidance", + "prose": "Threat Hunting bezeichnet eine proaktive Suche nach Anzeichen für Sicherheitsvorfälle durch Analyseexperten, da fortschrittliche Angriffe durch automatisierte Systeme zur Angriffserkennung häufig nicht detektiert werden können. Im Unterschied zum Penetrationstest steht dabei nicht das Aufsuchen von Schwachstellen, sondern das Finden bereits erfolgreicher Angriffe oder Bedrohungen in den eigenen Systemen und Anwendungen im Vordergrund." + } + ] + }, + { + "id": "DET.5.7", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Analyse verdeckter Kanäle", + "params": [ + { + "id": "det.5.7-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "8f64e735-9870-4a8d-8b7b-220b93baddba" + } + ], + "label": "regelmäßig" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "8f64e735-9870-4a8d-8b7b-220b93baddba" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Pentest, Advanced Persistent Threats (APT)" + } + ], + "links": [ + { + "href": "#DET.5.6", + "rel": "related" + } + ], + "parts": [ + { + "id": "DET.5.7_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Detektions-Konzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "den Informationsverbund auf verdeckte Kommunikationskanäle" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{regelmäßig}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überprüfen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Detektion KANN den Informationsverbund auf verdeckte Kommunikationskanäle {{ insert: param, det.5.7-prm1 }} überprüfen." + }, + { + "id": "DET.5.7_gdn", + "name": "guidance", + "prose": "Ein verdeckter Kanal (Covert Channel) ist ein heimlicher Kommunikationskanal, mit dem Angreifer legitime Verbindungen ausnutzen, um verdeckt Daten zu übertragen. Viele dieser verdeckten Kanäle können durch darauf spezialisierte Erkennungswerkzeuge (sog. Warden) erkannt werden. Aufgrund der Vielzahl denkbarer verdeckter Kommunikationswege können solche Kanäle jedoch kaum vollständig verhindert werden. Ergänzende Maßnahmen wie Traffic Normalization können sie jedoch ausbremsen oder unerkannt eliminieren. Relevant sind dabei sowohl Speicherkanäle (Storage Channel) als auch Zeitkanäle (Timing Channel)." + } + ] + }, + { + "id": "DET.5.8", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Bedrohungsanalyse", + "params": [ + { + "id": "det.5.8-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "2134a13a-50a6-44b7-8df1-3ce041ef376a" + } + ], + "label": "regelmäßig" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "2134a13a-50a6-44b7-8df1-3ce041ef376a" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "parts": [ + { + "id": "DET.5.8_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Detektions-Konzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "verfügbare Informationen zu Bedrohungen, die für den Informationsverbund relevant sind," + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{regelmäßig}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überprüfen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Detektion SOLLTE verfügbare Informationen zu Bedrohungen, die für den Informationsverbund relevant sind, {{ insert: param, det.5.8-prm1 }} überprüfen." + }, + { + "id": "DET.5.8_gdn", + "name": "guidance", + "prose": "Bedrohungsaufklärung (Threat Intelligence) dient dem Sammeln und Analysieren von Informationen über bestehende oder aufkommende Bedrohungen, um fundierte Maßnahmen zur Verhinderung von Schäden zu ermöglichen und die Auswirkungen solcher Bedrohungen zu reduzieren. Sie kann in drei Schichten unterteilt werden: strategische Bedrohungsaufklärung (Austausch von Informationen auf hoher Ebene über die sich verändernde Bedrohungslandschaft), taktische Bedrohungsaufklärung (Informationen über Angreifermethoden, beteiligte Werkzeuge und Technologien) und operative Bedrohungsaufklärung (Details zu spezifischen Angriffen, einschließlich technischer Indikatoren). Die gesammelten Bedrohungsinformationen können analysiert und später genutzt werden, indem Prozesse implementiert werden können, um die aus Bedrohungsaufklärungsquellen gesammelten Informationen in die Risikomanagementprozesse einzubeziehen. Sie können als zusätzlicher Input für technische Präventiv- und Erkennungskontrollen wie Firewalls, Intrusion-Detection-Systeme oder Anti-Malware-Lösungen dienen sowie als Eingabe für die Testprozesse und -techniken der Informationssicherheit verwendet werden. Die Institution kann Bedrohungsinformationen auf gegenseitiger Basis mit anderen teilen, um die allgemeine Bedrohungsaufklärung zu verbessern. Dies kann einen kooperativen Ansatz zur Stärkung der gemeinsamen Sicherheitslage fördern." + } + ], + "controls": [ + { + "id": "DET.5.8.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Auswertung öffentlicher Quellen", + "params": [ + { + "id": "det.5.8.1-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "42bf3e91-d270-4a79-8ae9-a22918f94ad7" + } + ], + "label": "Kriterien zur Suche" + }, + { + "id": "det.5.8.1-prm2", + "props": [ + { + "name": "alt-identifier", + "value": "42bf3e91-d270-4a79-8ae9-a22918f94ad7" + } + ], + "label": "regelmäßig" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "42bf3e91-d270-4a79-8ae9-a22918f94ad7" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Data Leak" + } + ], + "parts": [ + { + "id": "DET.5.8.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Detektions-Konzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "öffentliche Quellen auf Hinweise zu eigenen Schwachstellen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "anhand von {{Kriterien zur Suche}} {{regelmäßig}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überprüfen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Detektion KANN öffentliche Quellen auf Hinweise zu eigenen Schwachstellen anhand von {{ insert: param, det.5.8.1-prm1 }} {{ insert: param, det.5.8.1-prm2 }} überprüfen." + }, + { + "id": "DET.5.8.1_gdn", + "name": "guidance", + "prose": "Öffentliche Quellen können Hinweise zu aktuellen Schwachstellen geben oder sogar auf die Vorbereitung von Angriffen geben, beispielsweise auf die Nachahmung von Webseiten oder Marken, sowie Typosquatting. Auch Datenleaks wie API-Keys oder falsch konfigurierte Cloud-Systeme können hierüber aufgedeckt werden. Relevante öffentliche Quellen können z.B. Schwachstellendatenbanken, Fachmedien, Security Mailing Listen, Dark Web Foren, Code Repositories, Suchmaschinen oder Soziale Medien sein. Als Kriterien zur Auswahl können verschiedene Suchbegriffe oder Suchmuster herangezogen werden, z.B. Bezeichnungen verwendeter Betriebssysteme oder Komponenten, eigene DNS-Domains, E-Mailadressen, API-Schnittstellen, Markennamen. Die Umsetzung kann durch eigenes Personal oder Threat Intelligence Dienstleister erfolgen." + } + ], + "controls": [ + { + "id": "DET.5.8.1.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Unautorisierte Publikation", + "props": [ + { + "name": "alt-identifier", + "value": "c179bae3-7990-4308-b42b-53297a581402" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Data Leak" + } + ], + "parts": [ + { + "id": "DET.5.8.1.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Detektions-Konzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "öffentliche Quellen automatisiert auf Hinweise zur unautorisierten Veröffentlichung vertraulicher Daten" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überwachen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Detektion KANN öffentliche Quellen automatisiert auf Hinweise zur unautorisierten Veröffentlichung vertraulicher Daten überwachen." + }, + { + "id": "DET.5.8.1.1_gdn", + "name": "guidance", + "prose": "Unautorisierte Veröffentlichungen liegen vor, wenn vertrauliche Daten ohne Autorisierung der Institution öffentlich gemacht wurden, z.B. personenbezogene Kundendaten oder Geschäftsgeheimnisse. Typische Quellen sind Soziale Netzwerke und Code-Sharing-Plattformen. Kann z.B. durch die automatisierte Suche nach unkritischen, aber in den Quelldaten vorhandenen Begriffen umgesetzt werden." + } + ] + } + ] + } + ] + }, + { + "id": "DET.5.9", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Externe Schwachstellenmeldungen", + "props": [ + { + "name": "alt-identifier", + "value": "cb35b6b0-15c3-488f-8759-ad66fe4883fa" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + } + ], + "parts": [ + { + "id": "DET.5.9_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Detektions-Konzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine Vorgehensweise zur Entgegennahme und Behandlung von externen Schwachstellenmeldungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Detektion SOLLTE eine Vorgehensweise zur Entgegennahme und Behandlung von externen Schwachstellenmeldungen verankern." + }, + { + "id": "DET.5.9_gdn", + "name": "guidance", + "prose": "Ohne klar geregelten Umgang könnte eine Institution wertvolle Hinweise übersehen oder verzögert reagieren, was die Wahrscheinlichkeit eines Angriffs auf ungepatchte Ziele erhöht. Denkbar sind etwa Szenarien, in denen eine unbekannte Schwachstelle in einer öffentlich erreichbaren Webanwendung durch Dritte entdeckt wird und die Institution zwar kontaktiert wird, aber ohne geregelten Prozess keine Reaktion erfolgt – was einen erfolgreichen Angriff begünstigen könnte. Eine Institution kann diese Anforderung umsetzen, indem sie z. B. eine leicht auffindbare Kontaktmöglichkeit für Schwachstellenmeldungen bereitstellt – etwa eine dedizierte E-Mail-Adresse wie security@…, ein webbasiertes Formular oder die Eintragung eines „Security.txt“-Hinweises im Webauftritt (nach IETF RFC 9116). Sinnvoll kann es sein, klare Erwartungshaltungen zu kommunizieren, etwa welche Informationen eine Meldung enthalten sollte oder wie Rückmeldungen an Hinweisgeber erfolgen können. Auch ein internes Verfahren zur Kategorisierung und Priorisierung der eingehenden Hinweise kann helfen, Meldungen effizient zu bearbeiten. Eine Institution kann zudem in Erwägung ziehen, standardisierte Rückmeldungen vorzubereiten, um zeitnah bestätigen zu können, dass eine Meldung eingegangen ist, selbst wenn die inhaltliche Analyse noch aussteht. Sinnvoll ist auch ein freiwilliger Verhaltenskodex (z. B. ein „Responsible Disclosure Policy“-Hinweis) auf der eigenen Website, um Hinweisgebern einen rechtlich sicheren Rahmen für ihre Meldungen zu verdeutlichen. So entsteht ein klarer, reproduzierbarer Prozess, der externe Informationen in die eigene Sicherheitsarbeit einbindet und das Risiko minimiert, dass relevante Hinweise verloren gehen oder ungenutzt bleiben. Für Details siehe ISO/IEC 29147." + } + ], + "controls": [ + { + "id": "DET.5.9.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Bonusprogramm", + "props": [ + { + "name": "alt-identifier", + "value": "aeb9f98e-0aad-44c1-8ab1-2f7276e387de" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "parts": [ + { + "id": "DET.5.9.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Detektions-Konzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "ein Bonusprogramm für externe Schwachstellenmeldungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Detektion KANN ein Bonusprogramm für externe Schwachstellenmeldungen verankern." + }, + { + "id": "DET.5.9.1_gdn", + "name": "guidance", + "prose": "Ein Bonusprogramm für externe Schwachstellenmeldungen (englisch häufig Bug Bounty Program) bezeichnet ein strukturiertes Verfahren, bei dem eine Institution freiwilligen Sicherheitsforschenden oder interessierten Dritten eine Belohnung für das Melden bislang unbekannter Sicherheitslücken anbietet. Dabei geht es nicht nur um finanzielle Prämien, sondern auch um nicht-monetäre Anerkennungen wie öffentliche Danksagungen oder Zertifikate. Sinn und Zweck liegt darin, externen Sicherheitsforschern oder -expertenen einen Anreiz zu geben, um Schwachstellen frühzeitig zu finden und zu melden. Zur Umsetzung kann eine Institution (1) transparente Regeln definieren, welche Systeme oder Anwendungen einbezogen sind (in scope) und welche nicht, (2) einen abgestuften Belohnungsrahmen anbieten, der den Schweregrad einer Schwachstelle berücksichtigt, sowie (3) die rechtlichen Rahmenbedingungen durch eine sogenannte „Safe-Harbor-Policy“ festlegen, die den Meldenden Schutz vor rechtlichen Schritten zusichert, solange diese verantwortungsvoll handeln. Ergänzend kann die Institution durch einfache organisatorische Hilfsmittel wie Ticketnummern, automatische Eingangsbestätigungen und zeitnahe Rückmeldungen Vertrauen schaffen und den weiteren Ablauf für externe Meldende nachvollziehbar gestalten." + } + ] + } + ] + }, + { + "id": "DET.5.10", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Zeitnahes Patchmanagement", + "props": [ + { + "name": "alt-identifier", + "value": "b2c08460-0038-4f49-b459-dba756e55ae9" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "DET.5.10_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Detektions-Konzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "ein zeitnahes Patchmanagement" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Detektion SOLLTE ein zeitnahes Patchmanagement verankern." + }, + { + "id": "DET.5.10_gdn", + "name": "guidance", + "prose": "Patches (Updates oder Sicherheitsaktualisierungen) sind neue Versionen, die Sicherheitslücken schließen. Je nach Aufbau der betroffenen Assets kann es bei der Aktualisierung auch erforderlich sein, Abhängigkeiten (Bibliotheken, Upstream Software) ebenfalls zu aktualisieren. Dies kann durch automatisierte Installation oder nach einem Test umgesetzt werden. Die Umsetzung kann auch den schrittweisen Rollout von Patches vorsehen, sodass bei Fehlern im Patch nicht alle Systeme gleichzeitig betroffen sind und auch komplexe Fehlerbilder durch Rückmeldungen frühzeitig erkannt werden können. Dies kann zum Beispiel nach dem One-Many-All-Prinzip oder Blue-Green-Deployment erfolgen. Zur Beurteilung der Kritikalität von Patches kann die Krititikalität der mit dem Patch verbundenen Schwachstellen, das Risikoprofil der zu patchenden Assets oder eine Korrelation komplexer Angriffswege herangezogen werden." + } + ], + "controls": [ + { + "id": "DET.5.10.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Autorisierte Bezugsquellen", + "props": [ + { + "name": "alt-identifier", + "value": "681afb8d-1864-4d86-9e69-3ecd9c14fbb8" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "parts": [ + { + "id": "DET.5.10.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Detektions-Konzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Bezugsquellen für Patches" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "autorisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Detektion SOLLTE Bezugsquellen für Patches autorisieren." + }, + { + "id": "DET.5.10.1_gdn", + "name": "guidance", + "prose": "Eine Quelle ist unzuverlässig, wenn zukünftig mit Verstößen gegen die Schutzziele Vertraulichkeit, Verfügbarkeit oder Integrität durch die Entität zu rechnen ist (d.h. eine Prognose der Vertrauenswürdigkeit). Dies ist insbesondere der Fall, wenn erhebliche Verstöße gegen die Schutzziele durch die Entität begangen worden sind oder Anzeichen dafür vorliegen, dass bei einer Verwendung mit solchen Verstößen zu rechnen ist." + } + ] + }, + { + "id": "DET.5.10.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Automatisierte Überwachung von Systemupdates", + "params": [ + { + "id": "det.5.10.2-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "d652bc78-8f87-42ef-a52a-7bdd9a43212f" + } + ], + "label": "einen automatisierten Mechanismus" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "d652bc78-8f87-42ef-a52a-7bdd9a43212f" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "DET.5.10.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Detektions-Konzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "den Patchstatus" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "durch {{einen automatisierten Mechanismus}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überwachen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Detektion für IT-Systeme SOLLTE den Patchstatus durch {{ insert: param, det.5.10.2-prm1 }} überwachen." + }, + { + "id": "DET.5.10.2_gdn", + "name": "guidance", + "prose": "Der Patchsstatus des Informationsverbundes kann dabei durch Kennzahlen bestimmt werden, z.B. durchschnittliche Zeit bis zum Patch (Mean Time To Patch), Prozentsatz aktuell gepatchter Assets, Anzahl offener/geschlossener Ausnahmen." + } + ] + }, + { + "id": "DET.5.10.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Automatisierte Überwachung von Anwendungsupdates", + "params": [ + { + "id": "det.5.10.3-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "1aec3d83-b204-4999-88f5-abf1e140a925" + } + ], + "label": "einen automatisierten Mechanismus" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "1aec3d83-b204-4999-88f5-abf1e140a925" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + } + ], + "links": [ + { + "href": "#TEST.1.1", + "rel": "related" + } + ], + "parts": [ + { + "id": "DET.5.10.3_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Detektions-Konzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "den Patchstatus" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "durch {{einen automatisierten Mechanismus}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überwachen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Detektion für Anwendungen KANN den Patchstatus durch {{ insert: param, det.5.10.3-prm1 }} überwachen." + }, + { + "id": "DET.5.10.3_gdn", + "name": "guidance", + "prose": "Eine nicht gepatchte Anwendung könnte als Einfallstor für Angreifer dienen, die bekannte Schwachstellen ausnutzen, um sich Zugang zu Systemen oder Daten zu verschaffen. Die Umsetzung kann beispielsweise auf einem Patch Management System (PMS) oder einem Vulnerability Management System (VMS) basieren. Ein Patch-Managementsystem kann beispielsweise so konfiguriert werden, dass es kontinuierlich die Versionen der installierten Software mit einer zentralen Datenbank für verfügbare Updates abgleicht. Auch die Nutzung eines Schwachstellen-Scanners, der im Netzwerk nach ungepatchten Anwendungen sucht, ist eine wirksame Maßnahme. Ein solcher Scanner könnte beispielsweise wöchentlich oder sogar täglich einen Scan durchführen und die Ergebnisse in einem Dashboard visualisieren. Wichtige prozessuale Tipps sind die Einrichtung von Benachrichtigungsworkflows, die sicherstellen, dass kritische Patch-Status-Änderungen sofort an die richtigen Personen eskaliert werden, sowie die Integration der Überwachungsergebnisse in ein zentrales Incident Response System. Dies kann helfen, die Reaktionszeit zu verkürzen, sodass die Anwendungen schnellstmöglich aktualisiert werden." + } + ] + }, + { + "id": "DET.5.10.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Integritätsprüfung von Patches", + "props": [ + { + "name": "alt-identifier", + "value": "8eb6cebe-6ea5-4f78-a9b3-ce5a29f3bcc7" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + } + ], + "links": [ + { + "href": "#TEST.3.1.2", + "rel": "related" + } + ], + "parts": [ + { + "id": "DET.5.10.4_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Detektions-Konzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Patches vor der Installation auf Integrität" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "testen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Detektion SOLLTE Patches vor der Installation auf Integrität testen." + }, + { + "id": "DET.5.10.4_gdn", + "name": "guidance", + "prose": "Wenn Patches durch Fehler bei der Übertragung oder sogar bewusst von Angreifern verändert wurden, kann dies nach der Installation zu nicht behebbaren Fehlerzuständen oder zur Verbreitung von Schadcode führen. Kann durch einen Abgleich von Prüfsummen umgesetzt werden, z.B. durch automatisierte Installationsroutinen oder einen manuellen Abgleich mit der Herstellerwebseite." + } + ] + }, + { + "id": "DET.5.10.5", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Test gemäß Änderungsmanagement", + "props": [ + { + "name": "alt-identifier", + "value": "7f1d3645-70d4-4c0d-a3c6-ecb497e3f45b" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "links": [ + { + "href": "#TEST.1.1", + "rel": "related" + } + ], + "parts": [ + { + "id": "DET.5.10.5_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Detektions-Konzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Patches entsprechend der Anforderungen der Praktik „Änderungen und Tests“" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "ausführen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Detektion KANN Patches entsprechend der Anforderungen der Praktik „Änderungen und Tests“ ausführen." + }, + { + "id": "DET.5.10.5_gdn", + "name": "guidance", + "prose": "Stellt sicher, dass Patches zusammen mit anderen Änderungen geprüft werden und trennt zwischen „Routine“- und „Notfall“-Änderungen." + } + ] + } + ] + } + ] + }, + { + "id": "DET.6", + "title": "Vorfallserkennung", + "props": [ + { + "name": "label", + "value": "6" + }, + { + "name": "alt-identifier", + "value": "2bad125b-a136-415f-b72f-47c999fe16e8" + } + ], + "controls": [ + { + "id": "DET.6.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Beurteilung von Ereignissen", + "params": [ + { + "id": "det.6.1-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "a8c7d445-54b4-40e2-aab5-b46e30549ec5" + } + ], + "label": "Kriterien" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "a8c7d445-54b4-40e2-aab5-b46e30549ec5" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "DET.6.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Detektions-Konzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "ein Verfahren zur Beurteilung von sicherheitsrelevanten Ereignissen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "anhand von {{Kriterien}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Detektion SOLLTE ein Verfahren zur Beurteilung von sicherheitsrelevanten Ereignissen anhand von {{ insert: param, det.6.1-prm1 }} verankern." + }, + { + "id": "DET.6.1_gdn", + "name": "guidance", + "prose": "Aus einer größeren Menge von sicherheitsrelevanten Ereignissen kann durch Filterung und Korrelation eine kleinere Menge sicherheitskritischer Ereignisse destilliert werden. Dies bedeutet, dass aus allen möglichen Sicherheitsereignissen (wie Zugriffsversuche, Systemänderungen, Netzwerkverkehr) besonders auf die potenziell gefährlicheren oder wichtigeren Ereignisse geachtet wird. Für die Definition eines sicherheitskritischen Ereignisses, siehe Glossar (Namensräume des Grundschutz++). Die Filterung erfolgt sinnvollerweise automatisiert, z.B. durch SIEM, EDR. Die Überwachung kann anhand von bestimmten Begriffen (z.B. \"login from unknown device\", \"blocked malware\", \"permission changed\") oder durch Anomalieerkennung erfolgen. Aufgrund der Vielzahl an möglichen Ereignissen sind detaillierte Kriterien nur schwer festzulegen. Die Kriterien können sich daher auch an einem überschaubaren Schema, etwa einer Abschätzung der Auswirkungen auf die Geschäftsprozesse und gesetzlichen Meldepflichten, orientieren. Sobald ein solches kritisches Ereignis erkannt wird, erfolgt eine Bewertung durch definierte Personen oder Rollen. Diese entscheiden, ob das Ereignis tatsächlich als Sicherheitsvorfall eingestuft werden kann." + } + ], + "controls": [ + { + "id": "DET.6.1.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Automatisierte Feststellung", + "params": [ + { + "id": "det.6.1.1-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "92f55893-595b-4d3d-80eb-ef8e7b5ed1cb" + } + ], + "label": "Kriterien" + }, + { + "id": "det.6.1.1-prm2", + "props": [ + { + "name": "alt-identifier", + "value": "92f55893-595b-4d3d-80eb-ef8e7b5ed1cb" + } + ], + "label": "einen automatisierten Mechanismus" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "92f55893-595b-4d3d-80eb-ef8e7b5ed1cb" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + } + ], + "parts": [ + { + "id": "DET.6.1.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Detektions-Konzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "kritische Vorfälle" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "anhand von {{Kriterien}} durch {{einen automatisierten Mechanismus}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "protokollieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Detektion SOLLTE kritische Vorfälle anhand von {{ insert: param, det.6.1.1-prm1 }} durch {{ insert: param, det.6.1.1-prm2 }} protokollieren." + }, + { + "id": "DET.6.1.1_gdn", + "name": "guidance", + "prose": "Zur Erfüllung der Anforderung ist es nicht erforderlich, dass alle denkbaren Sicherheitsvorfälle automatisch erkannt werden, sondern nur, dass diejenigen Vorfälle, die in der vorhandenen Infrastruktur automatisch feststellbar sind und mit einem hohen Risiko verbunden sind, automatisch festgestellt werden. Beispiele sind hier ein Virenbefall des zentralen Verzeichnisdienstes, unautorisierte Datenabflüsse oder das Aufbrechen eines Fensters im Sicherheitsbereich. Ressourcen meint hier z.B. Systeme, Zugangskonten, Datenkategorien." + } + ] + }, + { + "id": "DET.6.1.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Automatische Alarmierung", + "params": [ + { + "id": "det.6.1.2-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "f45e08b7-8f42-469a-aa22-63b93daba60e" + } + ], + "label": "für die Vorfallsbehandlung zuständigen Personen oder Rollen" + }, + { + "id": "det.6.1.2-prm2", + "props": [ + { + "name": "alt-identifier", + "value": "f45e08b7-8f42-469a-aa22-63b93daba60e" + } + ], + "label": "einen automatisierten Mechanismus" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "f45e08b7-8f42-469a-aa22-63b93daba60e" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "links": [ + { + "href": "#DET.6.1.1", + "rel": "required" + } + ], + "parts": [ + { + "id": "DET.6.1.2_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Detektions-Konzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "bei sicherheitskritischen Ereignissen eine Alarmierung von {{für die Vorfallsbehandlung zuständigen Personen oder Rollen}}" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "durch {{einen automatisierten Mechanismus}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "ausführen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Detektion SOLLTE bei sicherheitskritischen Ereignissen eine Alarmierung von {{ insert: param, det.6.1.2-prm1 }} durch {{ insert: param, det.6.1.2-prm2 }} ausführen." + }, + { + "id": "DET.6.1.2_gdn", + "name": "guidance", + "prose": "Für die Definition eines sicherheitskritischen Ereignisses, siehe Glossar (Namensräume des Grundschutz++). Bewährt hat sich hierzu der Einsatz eines Security Information and Event Management Systems (SIEM), das die Audit Logs verschiedener Hersteller auf Ereignisse überprüfen und diese korrelieren kann. Passen Sie Schwellwerte und Kriterien so an, dass keine Alarmmüdigkeit (alert fatigue) beim Personal aufkommt." + } + ] + }, + { + "id": "DET.6.1.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Dokumentation von Ergebnissen", + "props": [ + { + "name": "alt-identifier", + "value": "02e94d9c-cd23-4cb4-a6ef-7ccd7efb0869" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + } + ], + "parts": [ + { + "id": "DET.6.1.3_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Detektions-Konzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Analyseergebnisse" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Detektion KANN Analyseergebnisse dokumentieren." + }, + { + "id": "DET.6.1.3_gdn", + "name": "guidance", + "prose": "Die Aufzeichnung von Beurteilungsergebnissen und Entscheidungen bei Sicherheitsvorfällen dient als rechtssichere Nachweisführung und ermöglicht retrospektive Analysen zur kontinuierlichen Prozessverbesserung. Sie stellt außerdem sicher, dass die Vorfälle während und nach der Behandlung strukturiert aufgearbeitet werden können. Zweckmäßig ist es dabei, möglichst viele hilfreiche Informationen automatisch mitzuerfassen, z.B. welche Fehlermeldung genau aufgetreten ist oder welche Schwellwerte bis zu welchem Wert genau überschritten worden sind. Kann auch durch ein SIEM umgesetzt werden, welches Informationen zu kritischen Ereignissen abspeichert. Die Umsetzung kann mit einem standardisierten Dokumentationssystem erfolgen, das alle relevanten Metadaten erfasst: Zeitstempel, beteiligte Personen, Begründungen für Entscheidungen sowie konkrete Maßnahmen." + } + ] + } + ] + }, + { + "id": "DET.6.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Beurteilung von Eingängen", + "props": [ + { + "name": "alt-identifier", + "value": "0ec29d00-cea9-4337-8f83-b680453b21b2" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + } + ], + "parts": [ + { + "id": "DET.6.2_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Detektions-Konzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "ein Verfahren zur Beurteilung von Datei-Eingängen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Detektion SOLLTE ein Verfahren zur Beurteilung von Datei-Eingängen verankern." + }, + { + "id": "DET.6.2_gdn", + "name": "guidance", + "prose": "Kann beispielsweise ein Virenscanner eine Datei nicht überprüfen, weil sie mit einem Passwort geschützt ist, erhalten Nutzende die Datei erst, wenn sie durch das für Detektion zuständige Personal freigegeben wurde. Dazu muss die Datei aus einer vertrauenswürdigen Quelle stammen und keine Anzeichen für einen Angriff vorliegen." + } + ], + "controls": [ + { + "id": "DET.6.2.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Dynamische Sandbox-Analyse", + "props": [ + { + "name": "alt-identifier", + "value": "5e302b5d-0a5b-4821-8d46-1e2f7fc40c3f" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + } + ], + "parts": [ + { + "id": "DET.6.2.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Detektions-Konzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "verdächtige Dateien in einer isolierten Umgebung" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "mindestens anhand von aufgebauten Netzverbindungen, Systemaufrufen und Dateizugriffen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "testen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Detektion KANN verdächtige Dateien in einer isolierten Umgebung mindestens anhand von aufgebauten Netzverbindungen, Systemaufrufen und Dateizugriffen testen." + }, + { + "id": "DET.6.2.1_gdn", + "name": "guidance", + "prose": "Eine dynamische Sandbox Analyse ist die Ausführung des verdächtigen Codes in einer isolierten Umgebung, aus der eine Anwendung nicht durch Ausführung von Systembefehlen ausbrechen kann (Sandbox Detonation). Sie ermöglicht die sichere Untersuchung potenziell schädlicher Dateien in einer isolierten Umgebung, um deren tatsächliches Verhalten zu beobachten. Eine dynamische Analyse kann verschiedene verdächtige Aktivitäten erfassen: Dateisystemoperationen wie das Erstellen, Ändern oder Löschen von Dateien; Registry-Modifikationen, besonders in Autostart-Bereichen; Netzwerkverhalten einschließlich externer Verbindungsversuche und Datenexfiltration; Prozessverhalten wie Injektionstechniken oder unerwartete Kindprozesse; Speichermanipulationen; Persistenzmechanismen wie Dienste oder geplante Aufgaben; Anti-Analyse-Techniken zur Erkennung virtueller Umgebungen; sowie ungewöhnliche API-Aufrufe wie kryptografische Funktionen oder Sicherheitsumgehungen. Die Sandbox kann dabei mit ausreichender Laufzeit, Netzwerksimulation und Snapshot-Funktionen ausgestattet werden, um auch verzögerte oder umgebungsspezifische Schadfunktionen zu erkennen." + } + ] + }, + { + "id": "DET.6.2.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Datenträgerschleuse", + "props": [ + { + "name": "alt-identifier", + "value": "51911fce-93f1-455a-b690-d5ddc90c9129" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "DET.6.2.2_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Arbeitsanweisung" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Datenträgerschleusen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "installieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Detektion KANN Datenträgerschleusen installieren." + }, + { + "id": "DET.6.2.2_gdn", + "name": "guidance", + "prose": "Eine Datenträgerschleuse ist ein vom restlichen Netz der Institution getrenntes System zur Erkennung von Schadprogrammen." + } + ] + } + ] + } + ] + } + ] + }, + { + "id": "REA", + "title": "Sicherheitsvorfallsbehandlung", + "props": [ + { + "name": "label", + "value": "REA", + "remarks": "Die Praktik Sicherheitsvorfallsbehandlung sorgt dafür, dass Informationssicherheitsvorfälle effizient erkannt, gemeldet, analysiert und behoben werden, um Schäden zu minimieren und den Normalbetrieb so schnell wie möglich wiederherzustellen. Diese Praktik ist reaktiv und konzentriert sich darauf, die Auswirkungen von Sicherheitsvorfällen zu minimieren. Sie stellt sicher, dass bei einem Sicherheitsvorfall schnell und effizient gehandelt wird, um den Schaden zu begrenzen. Andere Praktiken, wie z.B. Architektur, Personal, Sensibilisierung wirken proaktiv und versuchen, Sicherheitsvorfälle durch präventive Maßnahmen zu verhindern oder deren Häufigkeit zu reduzieren." + }, + { + "name": "alt-identifier", + "value": "28b2c88b-1a2a-4f9f-81c0-5d46b50c8f04" + } + ], + "groups": [ + { + "id": "REA.1", + "title": "Grundlagen", + "props": [ + { + "name": "label", + "value": "1" + }, + { + "name": "alt-identifier", + "value": "94bfadab-43f6-48d7-ac5e-49b8fbcf2794" + } + ], + "controls": [ + { + "id": "REA.1.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Verfahren und Regelungen", + "props": [ + { + "name": "alt-identifier", + "value": "1b647d38-5403-4e4d-8f28-ab4160cad840" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "REA.1.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Prozess Behandlung von Sicherheitsvorfällen" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Verfahren und Regelungen zur Behandlung von Sicherheitsvorfällen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Sicherheitsvorfallsbehandlung MUSS Verfahren und Regelungen zur Behandlung von Sicherheitsvorfällen verankern." + }, + { + "id": "REA.1.1_gdn", + "name": "guidance", + "prose": "Bei Sicherheitsvorfällen gilt es, schnell und systematisch zu reagieren, um weitere Schäden von Daten, Assets oder Personen abzuwenden. Auch erfahrene Experten benötigen dafür klare Anleitungen, um keine Arbeitsschritte zu vergessen oder rechtlichen Unsicherheiten bei der Ermittlung von Ursachen und Ergreifung von Gegenmaßnahmen ausgesetzt zu sein. Die bei der Festlegung des Verfahrens im Einzelnen zu berücksichtigenden Inhalte ergeben sich aus den Anforderungen dieser Praktik." + } + ], + "controls": [ + { + "id": "REA.1.1.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Dokumentation", + "props": [ + { + "name": "alt-identifier", + "value": "eb369c39-cde2-4572-b4cb-f8cbe6636691" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "REA.1.1.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Verfahren und Regelungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Sicherheitsvorfallsbehandlung MUSS die Verfahren und Regelungen dokumentieren." + }, + { + "id": "REA.1.1.1_gdn", + "name": "guidance", + "prose": "Ohne eine Dokumentation könnte die Einhaltung der Verfahren und Regelungen von der Tagesform oder dem individuellen Wissen einzelner Mitarbeiter abhängen, was zu inkonsistenten Entscheidungen und Fehlern führen könnte; insbesondere beim Ausscheiden eines langjährigen Administrators könnte wertvolles prozessuales Wissen verloren gehen. Eine klare Dokumentation sichert die Verbindlichkeit und Wiederholbarkeit und dient als unverzichtbare Grundlage für die Einarbeitung neuer Kollegen, für die Durchführung von Audits und zur einheitlichen Anwendung der Regeln in der gesamten Institution. Die Dokumentation kann in einem eigenständigen Dokument als Richtlinie erfolgen, aber auch als Abschnitt in einem bereits bestehenden Dokument oder über die digital strukturiere Erfassung von Maßnahmen zur Umsetzung der Anforderungen, etwa über eine Software zum Management der Informationssicherheit. Sinnvoll ist es Ort und Struktur der Dokumentation an der jeweiligen Zielgruppe, d.h. den für das Management und die Umsetzung verantwortlichen Personen oder Rollen, auszurichten." + } + ] + }, + { + "id": "REA.1.1.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Zuweisung der Aufgaben", + "params": [ + { + "id": "rea.1.1.2-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "faee003e-0688-4625-b1df-859ee523d39e" + } + ], + "label": "zuständigen Personen oder Rollen" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "faee003e-0688-4625-b1df-859ee523d39e" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "REA.1.1.2_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Geschäftsverteilungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die mit den Verfahren und Regelungen verbundenen Aufgaben" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{zuständigen Personen oder Rollen}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "zuweisen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Sicherheitsvorfallsbehandlung MUSS die mit den Verfahren und Regelungen verbundenen Aufgaben {{ insert: param, rea.1.1.2-prm1 }} zuweisen." + }, + { + "id": "REA.1.1.2_gdn", + "name": "guidance", + "prose": "Die Zuweisung von Aufgaben bezeichnet die eindeutige und verbindliche Übertragung von konkreten Tätigkeiten und Verantwortlichkeiten des Änderungsprozesses, wie etwa die Risikobewertung, die technische Umsetzung oder die finale Freigabe, an definierte Stellen in der Institution. Der Sinn dieser Vorschrift ist es, die Verantwortlichkeit (\"Accountability\") für jeden einzelnen Schritt im Prozess klarzustellen. Ohne eine solche Zuweisung könnten kritische Prüfungen unterbleiben, weil sich niemand explizit zuständig fühlt, was wiederum die Wahrscheinlichkeit fehlgeschlagener Änderungen erhöht. Eine klare Regelung kann sicherstellen, dass keine Aufgaben übersehen werden und jede Tätigkeit von einer dafür qualifizierten und befugten Stelle ausgeführt wird, was die Prozesssicherheit signifikant erhöht. Eine bewährte Methode zur Umsetzung ist die Erstellung einer RACI-Matrix (Responsible, Accountable, Consulted, Informed), die tabellarisch für jeden Prozessschritt darstellt, wer für die Durchführung verantwortlich ist, wer die Gesamtverantwortung trägt, wer zu konsultieren und wer zu informieren ist. Diese Zuständigkeiten können auch direkt in einem Workflow- oder Ticketsystem abgebildet werden, sodass Aufgaben, wie beispielsweise Genehmigungsschritte, automatisch an die richtige Gruppe oder Person weitergeleitet werden. Sinnvoll ist es, die Zuweisung anhand von Rollen (z. B. \"Anwendungsverantwortlicher\", \"Netzwerkadministrator\", \"Change Manager\") vorzunehmen, statt an konkrete Personen. Dieser Ansatz stellt sicher, dass die Prozesse auch bei Personalwechseln stabil weiterlaufen, da die Zuständigkeit an die Funktion und nicht an das Individuum gebunden ist." + } + ] + }, + { + "id": "REA.1.1.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Bekanntgabe", + "props": [ + { + "name": "alt-identifier", + "value": "4d47147b-84cb-49c4-b1ce-286eb13fc667" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "REA.1.1.3_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die zuständigen Personen oder Rollen über die Verfahren und Regelungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "informieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Sicherheitsvorfallsbehandlung MUSS die zuständigen Personen oder Rollen über die Verfahren und Regelungen informieren." + }, + { + "id": "REA.1.1.3_gdn", + "name": "guidance", + "prose": "Wenn die Zuständigen die etablierten Verfahren nicht kennen, besteht die Gefahr, dass diese – sei es aus Unwissenheit oder Bequemlichkeit – umgangen werden, was die Schutzwirkung des gesamten Managementsystems untergräbt. So könnte ein neuer Systemadministrator eine weitreichende Konfigurationsänderung vornehmen, ohne den vorgeschriebenen Genehmigungsprozess zu durchlaufen, was zu einem unbemerkten Sicherheitsrisiko führen könnte. Eine gezielte Information kann hingegen die Akzeptanz der Regelungen fördern und sicherstellen, dass alle Beteiligten ihre Rolle im Prozess verstehen und die Abläufe korrekt anwenden. Zur Umsetzung ist es sinnvoll die Dokumentation im Rahmen eines Onboarding-Prozesses bekanntzugeben und bei allen Änderungen eine automatische Benachrichtigung aller zuständigen Personen oder Rollen anzustoßen." + } + ] + } + ] + }, + { + "id": "REA.1.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Regelmäßige Überprüfung", + "params": [ + { + "id": "rea.1.2-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "118f25c8-37b1-413e-9223-d73f689cd181" + } + ], + "label": "regelmäßig" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "118f25c8-37b1-413e-9223-d73f689cd181" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "REA.1.2_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Übungs- und Prüfplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Verfahren und Regelungen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{regelmäßig}} und anlassbezogen auf Aktualität" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überprüfen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Sicherheitsvorfallsbehandlung MUSS die Verfahren und Regelungen {{ insert: param, rea.1.2-prm1 }} und anlassbezogen auf Aktualität überprüfen." + }, + { + "id": "REA.1.2_gdn", + "name": "guidance", + "prose": "Eine geplante der etablierten Verfahren und Regelungen dient dazu festzustellen, ob diese noch wirksam, effizient und an die aktuellen Gegebenheiten angepasst sind. Eine anlassbezogene Überprüfung wird durch spezifische Ereignisse ausgelöst, wie etwa einen schwerwiegenden Sicherheitsvorfall, eine strategische Neuausrichtung der IT oder neue gesetzliche Anforderungen. Der Zweck dieser Anforderung ist es, die kontinuierliche Verbesserung und Anpassungsfähigkeit des Prozesses sicherzustellen, da veraltete Regelungen neuen technologischen Entwicklungen oder Bedrohungen nicht mehr gerecht werden könnten; ein vor Jahren für monolithische Anwendungen konzipierter Prozess ist beispielsweise für agile Entwicklungsmethoden oder Microservice-Architekturen ungeeignet. Die regelmäßige Überprüfung kann die Effektivität des Sicherheitsmanagements langfristig aufrechterhalten und die Resilienz der Institution stärken." + } + ] + }, + { + "id": "REA.1.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Übungen zur Vorfallsbehandlung", + "params": [ + { + "id": "rea.1.3-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "3dc90c0b-c5bb-49e1-bb56-10397acc8be9" + } + ], + "label": "regelmäßig" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "3dc90c0b-c5bb-49e1-bb56-10397acc8be9" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Kompetenzmanagement" + } + ], + "parts": [ + { + "id": "REA.1.3_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Übungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Abwehrfähigkeit durch Übungen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{regelmäßig}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überprüfen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Sicherheitsvorfallsbehandlung KANN die Abwehrfähigkeit durch Übungen {{ insert: param, rea.1.3-prm1 }} überprüfen." + }, + { + "id": "REA.1.3_gdn", + "name": "guidance", + "prose": "Komplexere Sicherheitsvorfälle treten auch in größeren Institutionen relativ selten auf. Gleichzeitig erfordern sie dann eine schnelle und kompetente Beurteilung und Behandlung. Um diese sicherzustellen, bietet sich eine regelmäßige Übung an, bei welcher der gesamte Lebenszyklus eines Vorfalls (von der Alarmierung über die Beweissicherung bis zur Nachbehandlung) geübt wird. Beispiele sind Simulationen von Datenleaks, Hacking-Angriffen oder des Ausfalls eines Rechenzentrums. Hierbei sind Übungen effektiver, wenn sie nicht nur theoretisch („nach Papierlage“) vorgenommen werden, sondern soweit wie möglich unter Realbedingungen, z.B. durch das Schwenken auf einen Ausweichsitz zu Zeiten, in denen dadurch keine Geschäftsprozesse beeinträchtigt werden. Zu einer Übung kann sowohl der Umgang mit technischen Werkzeugen als auch mit Verfahrensweisen, Zuständigkeiten im Team und Vertretungsregelungen gehören." + } + ] + } + ] + }, + { + "id": "REA.2", + "title": "Reaktion", + "props": [ + { + "name": "label", + "value": "2" + }, + { + "name": "alt-identifier", + "value": "30760622-d505-4b78-a59c-4acdee3c4a6b" + } + ], + "controls": [ + { + "id": "REA.2.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Triage und Erstreaktion", + "props": [ + { + "name": "alt-identifier", + "value": "988a898a-f7c3-4e6c-9746-8b20e2e85ecd" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + } + ], + "parts": [ + { + "id": "REA.2.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Behandlung von Sicherheitsvorfällen" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Meldungen einer Priorität" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "zuweisen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sicherheitsvorfallsbehandlung SOLLTE Meldungen einer Priorität zuweisen." + }, + { + "id": "REA.2.1_gdn", + "name": "guidance", + "prose": "Triage ist ein strukturiertes Vorgehen zur Priorisierung und Ersteinschätzung von Sicherheitsvorfällen, mit dem Ziel, rasch und effizient auf Bedrohungen zu reagieren, Ressourcen gezielt einzusetzen und weitere Schäden zu minimieren. Dabei wird festgestellt, welche Vorfälle sofortige Aufmerksamkeit benötigen, welche weiter analysiert oder beobachtet werden oder irrelevante Fehlalarme sind. Kritische Vorfälle können z.B. ein Virenfund auf einem Server, Ransomwarevorfälle oder Spionage durch professionelle Täter sein. Die Umsetzung kann auch automatisiert durch EDR/SOAR geschehen. Eine Erstreaktion ist eine schnelle Handlung, die dazu dient, weitere Schäden wie eine Ausbreitung von Angriffen oder Störungen in Geschäftsprozessen zu vermeiden. Sie kann z.B. in der Abschaltung betroffener Systeme, der Deaktivierung eines Zugangskonto, der Information Nutzender über eine Störung oder der Aktivierung eines Ausweichrechenzentrums bestehen." + } + ] + }, + { + "id": "REA.2.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Automatische Erstreaktion", + "props": [ + { + "name": "alt-identifier", + "value": "3c124fd5-bd24-4864-a931-b3a226177f2e" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + } + ], + "parts": [ + { + "id": "REA.2.2_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine automatische Erstreaktion" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Sicherheitsvorfallsbehandlung KANN eine automatische Erstreaktion aktivieren." + }, + { + "id": "REA.2.2_gdn", + "name": "guidance", + "prose": "Die automatische Erstreaktion kann je nach Risikoprofil durch institutionseigene Host- oder Network Intrusion Prevention Systeme (HIPS / NIPS) oder eine vergleichbare Cloud-Lösung umgesetzt werden." + } + ] + }, + { + "id": "REA.2.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Dokumentation von Vorfällen", + "props": [ + { + "name": "alt-identifier", + "value": "484b2d34-72ad-4472-b5c9-bf0643f7afd7" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "REA.2.3_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Behandlung von Sicherheitsvorfällen" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "den Vorfall" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sicherheitsvorfallsbehandlung SOLLTE den Vorfall dokumentieren." + }, + { + "id": "REA.2.3_gdn", + "name": "guidance", + "prose": "Dokumentation des Vorfalls meint hier die nachvollziehbare, strukturierte und revisionssichere Aufzeichnung aller für eine spätere Auswertung relevanten Informationen zu einem Sicherheitsvorfall („security incident“). Dazu gehören insbesondere Zeitpunkt, Art, Ausmaß, betroffene Systeme oder Daten sowie eingeleitete Sofortmaßnahmen. Sie dient nicht allein der internen Nachvollziehbarkeit, sondern potenziell auch der rechtlichen Beweissicherung („evidence preservation“) und Verbesserung des Sicherheitsmanagements. Eine lückenhafte oder unvollständige Dokumentation könnte dazu führen, dass Ursachenanalysen fehlschlagen, Wiederholungen nicht verhindert werden oder rechtliche Nachweispflichten – etwa im Rahmen von Datenschutzvorfällen – nicht erfüllt werden könnten. Eine sorgfältig geführte Aufzeichnung kann dagegen die Transparenz im Incident-Handling erhöhen, interne Lernprozesse fördern und Verantwortlichkeiten eindeutig nachvollziehbar machen. Sinnvolle Varianten der Umsetzung können in Form von (1) standardisierten Incident-Report-Templates, (2) elektronischen Ticket- oder Case-Management-Systemen zur Vorfallserfassung oder (3) forensischen Protokollen mit Zeitstempeln und Beweismitteln erfolgen." + } + ] + }, + { + "id": "REA.2.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Diagnosedaten", + "props": [ + { + "name": "alt-identifier", + "value": "b812b0ef-680c-4285-982c-8f0829fd0930" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "REA.2.4_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Behandlung von Sicherheitsvorfällen" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Diagnosemethoden" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "für den Fall, dass der Vorfall sich mit den standardisiert erfassten Informationen nicht ausreichend analysieren lässt," + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sicherheitsvorfallsbehandlung SOLLTE Diagnosemethoden für den Fall, dass der Vorfall sich mit den standardisiert erfassten Informationen nicht ausreichend analysieren lässt, verankern." + }, + { + "id": "REA.2.4_gdn", + "name": "guidance", + "prose": "Der Begriff Diagnosemethoden bezeichnet in diesem Kontext strukturierte Verfahren, Werkzeuge oder Analyseansätze, die eingesetzt werden können, um bei Sicherheitsvorfällen zusätzliche Informationen zu gewinnen, wenn die standardisierten Erstinformationen nicht ausreichen. Der Sinn der Vorschrift liegt darin, die Gefahr zu reduzieren, dass ein Vorfall unvollständig verstanden bleibt und dadurch falsche Entscheidungen getroffen werden. Eine Institution kann die Anforderung durch verschiedene technische und prozessuale Maßnahmen abbilden. So kann sie (1) erweiterte Protokollierungsoptionen aktivieren, etwa durch temporäres Erhöhen von Log-Levels in relevanten Systemen, (2) Datensicherungen einzelner betroffener Systeme, Anwendungen oder Netzwerksegmente vornehmen, um die Nachvollziehbarkeit zu gewährleisten, und (3) spezielle Analysewerkzeuge einsetzen, beispielsweise für Speicherabbilder oder Netzwerkanomalien. Ergänzend kann es sinnvoll sein, ein Playbook mit typischen Diagnosepfaden für häufige Vorfallarten bereitzuhalten, sodass Mitarbeitende bei Bedarf gezielt auf tiefergehende Analysen zurückgreifen können." + } + ] + }, + { + "id": "REA.2.5", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "IT-Forensik", + "params": [ + { + "id": "rea.2.5-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "6de9ac83-2280-4fbd-ac54-f570faa7b211" + } + ], + "label": "bestimmte Kriterien" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "6de9ac83-2280-4fbd-ac54-f570faa7b211" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Advanced Persistent Threats (APT)" + } + ], + "parts": [ + { + "id": "REA.2.5_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Behandlung von Sicherheitsvorfällen" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine forensische Analyse" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "bei Vorfällen, die {{bestimmte Kriterien}} erfüllen," + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "ausführen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Sicherheitsvorfallsbehandlung KANN eine forensische Analyse bei Vorfällen, die {{ insert: param, rea.2.5-prm1 }} erfüllen, ausführen." + }, + { + "id": "REA.2.5_gdn", + "name": "guidance", + "prose": "Bei einer forensischen Analyse werden Beweise gesichert und Erkenntnisse zur Verbesserung von Schutzmaßnahmen gegen künftige Vorfälle gewonnen. Die Kriterien richten sich nach dem Schutzbedarf der betroffenen Informationen, Compliance-Verpflichtungen und dem Risikoprofil der Institution als Ganzes. Kriterien können, z.B. Anzeichen für einen (auch teilweise) erfolgreichen, gezielten Angriff, eine Straftat im Zusammenhang mit der Informationsverarbeitung oder eine Kompromittierung schützenswerter Informationen sein. Die Forensik kann durch eigenes qualifiziertes Personal oder durch einen im Vorfeld festgelegten, im Ernstfall zu beauftragenden Dienstleister geschehen. Zur Vorgehensweise können sowohl technische Werkzeuge, als auch rechtliche Rahmenbedingungen und Dokumentationsvorgaben gehören. Für Details siehe BSI-Leitfaden „IT-Forensik“." + } + ], + "controls": [ + { + "id": "REA.2.5.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Rechtssichere Beweissicherung", + "props": [ + { + "name": "alt-identifier", + "value": "73f6c601-3d1c-464f-9728-2e58b819dd3e" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "REA.2.5.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Behandlung von Sicherheitsvorfällen" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "rechtlich relevante Beweise" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "rechtssicher" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sicherheitsvorfallsbehandlung SOLLTE rechtlich relevante Beweise rechtssicher dokumentieren." + }, + { + "id": "REA.2.5.1_gdn", + "name": "guidance", + "prose": "Rechtlich relevant sind Beweise, wenn Anzeichen dafür vorliegen, dass bei einem Sicherheitsvorfall gegen Compliance-Verpflichtungen oder interne Arbeitsanweisungen verstoßen wurde. Beispiele sind Vorfälle wie z.B. unberechtigten Zugriffen oder Manipulationen von Daten. Beweise sind rechtssicher dokumentiert, wenn nachvollziehbar ist, wie sie erhoben wurden und sie außerdem sowohl gegen unautorisierte Einsicht als auch Veränderung geschützt aufbewahrt werden. Die Nachvollziehbarkeit von Veränderungen kann z.B. durch eine kryptografische Signatur oder getrennt aufbewahrte Checksummen sichergestellt werden. Außerdem ist es sinnvoll, die Originaldaten aufzubewahren, z.B. als Originaldatenträger oder Sicherungskopie. Für Details siehe BSI-Leitfaden „IT-Forensik“." + } + ] + }, + { + "id": "REA.2.5.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Vier-Augen-Prinzip", + "props": [ + { + "name": "alt-identifier", + "value": "6ff56f07-8d72-4f04-9fe9-8f48c89b2e78" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "parts": [ + { + "id": "REA.2.5.2_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Behandlung von Sicherheitsvorfällen" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "zur Forensik ein Vier-Augen-Prinzip" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Sicherheitsvorfallsbehandlung KANN zur Forensik ein Vier-Augen-Prinzip verankern." + }, + { + "id": "REA.2.5.2_gdn", + "name": "guidance", + "prose": "Wenn IT-Forensische Untersuchungen alleine vorgenommen werden, könnte das dokumentierte Vorgehen und damit die Stichhaltigkeit der Beweise bei einer gerichtlichen Überprüfung angezweifelt werden. Besser ist es, solche Untersuchungen gemeinsam mit einem Zeugen vorzunehmen, der qualifiziert ist zu beurteilen, welche Arbeitsschritte dabei vorgenommen wurden. Der Zeuge beglaubigt insbesondere die Prüfsummen der Dokumentation. Allerdings ist es auch ohne Vier-Augen-Prinzip möglich Belege für ein korrektes Vorgehen zu erbringen, beispielsweise durch Vorlage der unveränderten originalen Speichermedien." + } + ] + }, + { + "id": "REA.2.5.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Forensik-Dienstleister", + "params": [ + { + "id": "rea.2.5.3-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "ef31b4b8-5e5d-46fc-9baa-237808678a6d" + } + ], + "label": "einer Frist" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "ef31b4b8-5e5d-46fc-9baa-237808678a6d" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "parts": [ + { + "id": "REA.2.5.3_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Liste der Hersteller und Dienstleister" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Bereitschaft eines Forensik-Dienstleisters" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "binnen {{einer Frist}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "vereinbaren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Sicherheitsvorfallsbehandlung KANN die Bereitschaft eines Forensik-Dienstleisters binnen {{ insert: param, rea.2.5.3-prm1 }} vereinbaren." + }, + { + "id": "REA.2.5.3_gdn", + "name": "guidance", + "prose": "Um im Ernstfall eine schnelle Untersuchung von Sicherheitsvorfällen zu ermöglichen, kann die Institution bereits unabhängig von einem Vorfall einen Vertrag mit einem qualifizierten Forensik-Dienstleister abschließen. Die Anforderung ist erst umgesetzt, wenn der Dienstleister für den Ernstfall eine Erstreaktion innerhalb einer bestimmten Frist garantiert. Die Untersuchung aller Ergebnisse kann die Frist überschreiten." + } + ] + } + ] + }, + { + "id": "REA.2.6", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Ursachenanalyse und Behandlung", + "props": [ + { + "name": "alt-identifier", + "value": "585be170-c0ef-4b07-9016-71955cb17269" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + } + ], + "parts": [ + { + "id": "REA.2.6_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Arbeitsanweisung" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine Vorgehensweise zur Ursachenanalyse und Behandlung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sicherheitsvorfallsbehandlung SOLLTE eine Vorgehensweise zur Ursachenanalyse und Behandlung verankern." + }, + { + "id": "REA.2.6_gdn", + "name": "guidance", + "prose": "Um einen Vorfall vollständig beheben zu können, ist es zweckmäßig, zunächst zu analysieren, wie der Vorfall zustande kam (Root Cause Analysis): Welche Personen und Systeme sind betroffen? Welche systematischen Schwachstellen haben zu dem Vorfall geführt? Die Behebung des Vorfalls orientiert sich dann an diesen Erkenntnissen, z.B. durch Schließen der Sicherheitslücken und Wiederherstellung von Daten und Anwendungen. Je nach Vorfall kann die Behandlung durch das Schließen ausgenutzter Sicherheitslücken, einem Test anderer IT-Systeme auf vergleichbare Schwachstellen oder dem Austausch betroffener IT-Systeme, Anwendungen oder Datenbestände umgesetzt werden. Sind die Originaldaten oder -Systeme nicht mehr zu retten, so kann die Neuinstallation betroffener Systeme und die Wiederherstellung von Daten aus Backups eine Möglichkeit der Behandlung sein." + } + ], + "controls": [ + { + "id": "REA.2.6.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Dokumentation des Vorgehens", + "props": [ + { + "name": "alt-identifier", + "value": "0dec7e28-dd82-46b2-9128-f520d7d24c3c" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "REA.2.6.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Behandlung von Sicherheitsvorfällen" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die zur Behandlung durchgeführten Tätigkeiten" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sicherheitsvorfallsbehandlung SOLLTE die zur Behandlung durchgeführten Tätigkeiten dokumentieren." + } + ] + }, + { + "id": "REA.2.6.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Kommunikation bei Vorfällen", + "props": [ + { + "name": "alt-identifier", + "value": "5af2ba47-33f4-4623-a519-e0f727596890" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Kontakt mit Behörden" + } + ], + "parts": [ + { + "id": "REA.2.6.2_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Behandlung von Sicherheitsvorfällen" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine Vorgehensweise zur Kommunikation bei Vorfällen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "unter Berücksichtigung von Compliance-Verpflichtungen, Bedürfnissen der interessierten Parteien und der Geschäftsziele" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sicherheitsvorfallsbehandlung SOLLTE eine Vorgehensweise zur Kommunikation bei Vorfällen unter Berücksichtigung von Compliance-Verpflichtungen, Bedürfnissen der interessierten Parteien und der Geschäftsziele verankern." + }, + { + "id": "REA.2.6.2_gdn", + "name": "guidance", + "prose": "Hierzu gehören beispielsweise Meldepflichten gegenüber Aufsichts- oder Ermittlungsbehörden oder die Information Betroffener. Für personenbezogene Daten siehe auch Art. 34 DSGVO. Für weitere Details siehe ISO/IEC 27035. Bei den Compliance-Verpflichtungen sind einerseits Verpflichtungen zu beachten, die eine Meldung oder einen bestimmten Umfang für Meldungen fordern (z.B. Art. 33 DSGVO), andererseits aber auch Verpflichtungen zur Wahrung der Vertraulichkeit, z.B. aus dem Datenschutz, vertraglicher Pflichten zur Wahrung fremder Geschäftsgeheimnisse oder der staatlichen Geheimhaltung. Im Zweifelsfall ist hier die Inanspruchnahme interner oder externer Rechtsberatung hier empfehlenswert." + } + ], + "controls": [ + { + "id": "REA.2.6.2.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Information zuständiger Behörden", + "props": [ + { + "name": "alt-identifier", + "value": "d0c11aa7-cae9-48ca-b4a6-734b0adf336f" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Kontakt mit Behörden" + } + ], + "parts": [ + { + "id": "REA.2.6.2.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Behandlung von Sicherheitsvorfällen" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "bei Vorfällen die zuständigen Behörden" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "im Einklang mit den Compliance-Verpflichtungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "informieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sicherheitsvorfallsbehandlung SOLLTE bei Vorfällen die zuständigen Behörden im Einklang mit den Compliance-Verpflichtungen informieren." + } + ] + } + ] + }, + { + "id": "REA.2.6.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Koordinierung", + "props": [ + { + "name": "alt-identifier", + "value": "4d71c3c6-52f6-44bc-97db-3df446665918" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "REA.2.6.3_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Behandlung von Sicherheitsvorfällen" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Koordinierung bei Vorfällen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sicherheitsvorfallsbehandlung SOLLTE die Koordinierung bei Vorfällen verankern." + }, + { + "id": "REA.2.6.3_gdn", + "name": "guidance", + "prose": "Die Koordinierung der Behandlung von Sicherheitsvorfällen dient dazu, die Auswirkungen auf Daten, Systeme oder Personen zu minimieren, Compliance-Verpflichtungen zu erfüllen und die Wirksamkeit von Gegenmaßnahmen zu verstärken. Hierzu gehören interessierte Parteien wie Aufsichts- und Ermittlungsbehörden, Lieferanten oder Kunden. Für weitere Details siehe ISO/IEC 27035." + } + ] + }, + { + "id": "REA.2.6.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Service Level", + "props": [ + { + "name": "alt-identifier", + "value": "21a311d8-46eb-4844-b6ae-7ec7597fb124" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "parts": [ + { + "id": "REA.2.6.4_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Behandlung von Sicherheitsvorfällen" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Service Level" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Sicherheitsvorfallsbehandlung KANN Service Level verankern." + }, + { + "id": "REA.2.6.4_gdn", + "name": "guidance", + "prose": "Service Level bei der Sicherheitsvorfallsbehandlung legen verbindliche Zielvorgaben für Reaktions- und Bearbeitungszeiten fest, z. B. wie schnell ein Sicherheitsvorfall erkannt, bestätigt, eingestuft und gelöst werden muss. Damit wird sichergestellt, dass alle Beteiligten klare Erwartungen an Schnelligkeit und Qualität der Reaktion haben." + } + ] + }, + { + "id": "REA.2.6.5", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Eskalation", + "props": [ + { + "name": "alt-identifier", + "value": "5e9084e2-adb6-417d-b4fb-59735ac5aae9" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + } + ], + "links": [ + { + "href": "#NOT.1.1", + "rel": "related" + } + ], + "parts": [ + { + "id": "REA.2.6.5_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Behandlung von Sicherheitsvorfällen" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine Eskalationsleiter" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sicherheitsvorfallsbehandlung SOLLTE eine Eskalationsleiter verankern." + }, + { + "id": "REA.2.6.5_gdn", + "name": "guidance", + "prose": "Eine Eskalationsleiter (engl. escalation matrix oder escalation path) bezeichnet in diesem Kontext eine festgelegte Reihenfolge von Melde- und Entscheidungsstufen, die im Falle eines Sicherheitsvorfalls eingehalten wird, um eine zeitgerechte und angemessene Reaktion sicherzustellen. Sie definiert, welche Rollen oder Funktionen bei bestimmten Schweregraden eines Vorfalls informiert, einbezogen oder zur Entscheidung befugt sind. Der Begriff ist hier prozessual zu verstehen, also nicht als hierarchische Personalstruktur, sondern als abgestufter Kommunikations- und Entscheidungsmechanismus innerhalb des Sicherheitsvorfallsprozesses. Der Zweck einer solchen Eskalationsleiter liegt darin, dass sicherheitsrelevante Ereignisse nicht auf operativer Ebene „steckenbleiben“, sondern in ihrer Kritikalität und potenziellen Auswirkung auf höhere Entscheidungsebenen eskaliert werden können. Dadurch kann verhindert werden, dass etwa ein anhaltender Systemausfall, ein möglicher Datenabfluss oder ein Angriff auf kritische Systeme unbemerkt bleibt oder verspätet adressiert wird. Eine wirksam verankerte Eskalationsleiter kann somit sicherstellen, dass die Reaktionszeit kurz, die Zuständigkeiten eindeutig und die Kommunikation nachvollziehbar bleiben. Hier empfiehlt es sich die Anforderung im Zusammenhang mit Notfallplänen, Krisenmanagement und Business Continuity Management zu betrachten – siehe auch Praktik Notfallplanung. Beispiele für Eskalationsstufen: (1) Ereignis, (2) sicherheitsrelevantes Ereignis, (3) sicherheitskritisches Ereignis, (4) Sicherheitsvorfall, (5) Notfall (siehe Notfallplanung), (6) Krise. Die Einstufung erfolgt entsprechend der Definition, die jede Institution für sich festlegt." + } + ] + } + ] + } + ] + }, + { + "id": "REA.3", + "title": "Nachbereitung", + "props": [ + { + "name": "label", + "value": "3" + }, + { + "name": "alt-identifier", + "value": "ed0e3ca4-d7d3-4deb-adb0-923d14ab2eb0" + } + ], + "controls": [ + { + "id": "REA.3.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Verbesserung durch Erkenntnisse", + "params": [ + { + "id": "rea.3.1-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "eb3880e9-a0da-4372-84a7-7b0b69b8a852" + } + ], + "label": "regelmäßig" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "eb3880e9-a0da-4372-84a7-7b0b69b8a852" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Kompetenzmanagement" + } + ], + "links": [ + { + "href": "#TEST.5.5", + "rel": "related" + }, + { + "href": "#DLS.3.1", + "rel": "related" + }, + { + "href": "#NOT.3.4", + "rel": "related" + } + ], + "parts": [ + { + "id": "REA.3.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Behandlung von Sicherheitsvorfällen" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "bisherige Maßnahmen anhand von Erkenntnissen aus Informationssicherheitsvorfällen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{regelmäßig}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überprüfen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sicherheitsvorfallsbehandlung SOLLTE bisherige Maßnahmen anhand von Erkenntnissen aus Informationssicherheitsvorfällen {{ insert: param, rea.3.1-prm1 }} überprüfen." + }, + { + "id": "REA.3.1_gdn", + "name": "guidance", + "prose": "Erkenntnisse meint hier sowohl technische Aspekte („technical findings“), organisatorische Schwachstellen („process deficiencies“) als auch menschliche Faktoren („human factors“). Dabei ist es zielführend, sich nicht nur auf die unmittelbaren Ursachen zu beschränken (z.B. „Administrierende haben vergessen eine abhängige Komponente zu aktualisieren“), sondern nach den tieferen prozessualen oder technischen Ursachen zu suchen (sog. Root Cause Analyse), z.B. „Abhängigkeiten wurden bislang nicht dokumentiert“. Dabei kann es helfen, wenn alle Beteiligten verstehen, dass es nicht um Schuldzuweisungen geht, sondern um kontinuierliche Verbesserung der Informationssicherheit. Neben technischen Verbesserungen sind dabei auch organisatorische Maßnahmen sinnvoll. Beispielsweise können reale Beispiele in Schulungen verwendet werden, was die Bedeutung für die tägliche Arbeit der Teilnehmenden verdeutlicht und ähnliche Vorfälle in Zukunft vermeiden hilft. Ein regelmäßiger Überprüfungsrhythmus – regelmäßig kann hier je nach Kritikalität der Systeme etwa quartalsweise, halbjährlich oder nach jedem relevanten Vorfall bedeuten – dient dazu, bestehende sicherheitsrelevante Maßnahmen anhand der aus Vorfällen gewonnenen Erkenntnisse neu zu bewerten. Die regelmäßige Überprüfung kann verhindern, dass sich Schwachstellen verfestigen, die sonst unentdeckt bleiben könnten, beispielsweise unerkannte Fehlkonfigurationen oder wiederkehrende Bedienfehler, die bei zukünftigen Angriffen ausgenutzt werden könnten. Gleichzeitig kann sie dazu beitragen, dass eingeführte Verbesserungen nachhaltig wirken und im Alltag nicht wieder verwässern, was die Resilienz der Institution erhöhen kann. Mögliche Optionen reichen von strukturierten Lessons-Learned-Sitzungen über die Pflege eines Katalogs wiederkehrender Ursachen bis hin zur Integration von Anpassungen in technische Härtungsmaßnahmen oder Arbeitsanweisungen." + } + ], + "controls": [ + { + "id": "REA.3.1.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Quantitative Analyse", + "props": [ + { + "name": "alt-identifier", + "value": "b2a6adf2-ffe3-4b9d-9678-e938e425cb58" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + } + ], + "parts": [ + { + "id": "REA.3.1.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Behandlung von Sicherheitsvorfällen" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Erkenntnisse" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "einschließlich Art, Umfang und Schäden des Vorfalls" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Sicherheitsvorfallsbehandlung SOLLTE Erkenntnisse einschließlich Art, Umfang und Schäden des Vorfalls dokumentieren." + }, + { + "id": "REA.3.1.1_gdn", + "name": "guidance", + "prose": "Die Erkenntnisse (findings) umfassen hier eine systematisch strukturierte Auswertung eines Informationssicherheitsvorfalls (security incident), wobei Art die konkrete Typisierung des Ereignisses meint (z.B. unbefugter Zugriff, Fehlkonfiguration, Manipulation), Umfang die tatsächlich betroffenen IT-Systeme, Daten oder Prozesse beschreibt (impact scope) und Schäden sowohl technische als auch betriebswirtschaftliche Beeinträchtigungen bezeichnet (damage bzw. loss). Solch strukturierte Informationen können helfen, wiederkehrende Angriffsmuster oder Probleme zu erkennen und so die Eintrittswahrscheinlichkeit oder das Schadensausmaß zukünftiger Vorfälle zu verringern, während unzureichend dokumentierte Erkenntnisse dazu führen könnte, dass Ursachen im Dunkeln bleiben oder Gegenmaßnahmen nicht auch auf zukünftige Vorfälle wirken können. In der praktischen Umsetzungbietet bietet es sich dazu an Incident-Reports zu erstellen, die sowohl eine quantiative Einordnung anhand von Klassifikationsschemata, als auch eine qualitative Beschreibung von Ursache und Gegenmaßnamen erfasst wird. Diese Berichte können beispielsweise in ein zentrales, revisionssicheres Register für Vorfallsdokumentationen oder herstellerneutralen Ticket- oder IR-Tools abgelegt werden." + } + ] + } + ] + } + ] + } + ] + }, + { + "id": "KONF", + "title": "Konfiguration", + "props": [ + { + "name": "label", + "value": "KONF", + "remarks": "Die Praktik Konfiguration stellt sicher, dass IT-Komponenten – wie Anwendungen und IT-Systeme – gemäß den festgelegten Informationssicherheitsrichtlinien eingerichtet und kontinuierlich gepflegt werden, um Sicherheitslücken durch fehlerhafte oder unsichere Einstellungen zu vermeiden. Dies umfasst auch die nachvollziehbare Erstellung und Fortführung der Dokumentation." + }, + { + "name": "alt-identifier", + "value": "8e46d34c-5145-44f8-882e-790e2dcffa09" + } + ], + "groups": [ + { + "id": "KONF.1", + "title": "Grundlagen", + "props": [ + { + "name": "label", + "value": "1" + }, + { + "name": "alt-identifier", + "value": "94bfadab-43f6-48d7-ac5e-49b8fbcf2794" + } + ], + "controls": [ + { + "id": "KONF.1.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Verfahren und Regelungen", + "props": [ + { + "name": "alt-identifier", + "value": "88097b92-337f-4adf-b7b9-ebd62e78ce7f" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "KONF.1.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Verfahren und Regelungen zum Konfigurationsmanagement" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Konfiguration MUSS Verfahren und Regelungen zum Konfigurationsmanagement verankern." + }, + { + "id": "KONF.1.1_gdn", + "name": "guidance", + "prose": "Die Umsetzung kann in einem eigenen Prozess, oder integriert in andere Prozesse und Aufgaben erfolgen. Die bei der Festlegung des Verfahrens im Einzelnen zu berücksichtigenden Inhalte ergeben sich aus den Anforderungen dieser Praktik." + } + ], + "controls": [ + { + "id": "KONF.1.1.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Dokumentation", + "props": [ + { + "name": "alt-identifier", + "value": "b3d8d01f-bb8a-4f65-87ad-5f2b78f19169" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "KONF.1.1.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Verfahren und Regelungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Konfiguration MUSS die Verfahren und Regelungen dokumentieren." + }, + { + "id": "KONF.1.1.1_gdn", + "name": "guidance", + "prose": "Ohne eine Dokumentation könnte die Einhaltung der Verfahren und Regelungen von der Tagesform oder dem individuellen Wissen einzelner Mitarbeiter abhängen, was zu inkonsistenten Entscheidungen und Fehlern führen könnte; insbesondere beim Ausscheiden eines langjährigen Administrators könnte wertvolles prozessuales Wissen verloren gehen. Eine klare Dokumentation sichert die Verbindlichkeit und Wiederholbarkeit und dient als unverzichtbare Grundlage für die Einarbeitung neuer Kollegen, für die Durchführung von Audits und zur einheitlichen Anwendung der Regeln in der gesamten Institution. Die Dokumentation kann in einem eigenständigen Dokument als Richtlinie erfolgen, aber auch als Abschnitt in einem bereits bestehenden Dokument oder über die digital strukturiere Erfassung von Maßnahmen zur Umsetzung der Anforderungen, etwa über eine Software zum Management der Informationssicherheit. Sinnvoll ist es Ort und Struktur der Dokumentation an der jeweiligen Zielgruppe, d.h. den für das Management und die Umsetzung verantwortlichen Personen oder Rollen, auszurichten." + } + ] + }, + { + "id": "KONF.1.1.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Zuweisung der Aufgaben", + "params": [ + { + "id": "konf.1.1.2-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "38cab308-1e4a-4b41-a544-ed8ad0e9aed6" + } + ], + "label": "zuständigen Personen oder Rollen" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "38cab308-1e4a-4b41-a544-ed8ad0e9aed6" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "KONF.1.1.2_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Geschäftsverteilungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die mit den Verfahren und Regelungen verbundenen Aufgaben" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{zuständigen Personen oder Rollen}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "zuweisen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Konfiguration MUSS die mit den Verfahren und Regelungen verbundenen Aufgaben {{ insert: param, konf.1.1.2-prm1 }} zuweisen." + }, + { + "id": "KONF.1.1.2_gdn", + "name": "guidance", + "prose": "Die Zuweisung von Aufgaben bezeichnet die eindeutige und verbindliche Übertragung von konkreten Tätigkeiten und Verantwortlichkeiten des Änderungsprozesses, wie etwa die Risikobewertung, die technische Umsetzung oder die finale Freigabe, an definierte Stellen in der Institution. Der Sinn dieser Vorschrift ist es, die Verantwortlichkeit (\"Accountability\") für jeden einzelnen Schritt im Prozess klarzustellen. Ohne eine solche Zuweisung könnten kritische Prüfungen unterbleiben, weil sich niemand explizit zuständig fühlt, was wiederum die Wahrscheinlichkeit fehlgeschlagener Änderungen erhöht. Eine klare Regelung kann sicherstellen, dass keine Aufgaben übersehen werden und jede Tätigkeit von einer dafür qualifizierten und befugten Stelle ausgeführt wird, was die Prozesssicherheit signifikant erhöht. Eine bewährte Methode zur Umsetzung ist die Erstellung einer RACI-Matrix (Responsible, Accountable, Consulted, Informed), die tabellarisch für jeden Prozessschritt darstellt, wer für die Durchführung verantwortlich ist, wer die Gesamtverantwortung trägt, wer zu konsultieren und wer zu informieren ist. Diese Zuständigkeiten können auch direkt in einem Workflow- oder Ticketsystem abgebildet werden, sodass Aufgaben, wie beispielsweise Genehmigungsschritte, automatisch an die richtige Gruppe oder Person weitergeleitet werden. Sinnvoll ist es die Zuweisung anhand von Rollen (z.B. \"Anwendungsverantwortlicher\", \"Netzwerkadministrator\", \"Change Manager\") vorzunehmen, statt an konkrete Personen. Dieser Ansatz stellt sicher, dass die Prozesse auch bei Personalwechseln stabil weiterlaufen, da die Zuständigkeit an die Funktion und nicht an das Individuum gebunden ist." + } + ] + }, + { + "id": "KONF.1.1.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Bekanntgabe", + "props": [ + { + "name": "alt-identifier", + "value": "f76fcd02-3443-4184-baba-615028bcb8c0" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "KONF.1.1.3_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die zuständigen Personen oder Rollen über die Verfahren und Regelungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "informieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Konfiguration MUSS die zuständigen Personen oder Rollen über die Verfahren und Regelungen informieren." + }, + { + "id": "KONF.1.1.3_gdn", + "name": "guidance", + "prose": "Wenn die Zuständigen die etablierten Verfahren nicht kennen, besteht die Gefahr, dass diese – sei es aus Unwissenheit oder Bequemlichkeit – umgangen werden, was die Schutzwirkung des gesamten Managementsystems untergräbt. So könnte ein neuer Systemadministrator eine weitreichende Konfigurationsänderung vornehmen, ohne den vorgeschriebenen Genehmigungsprozess zu durchlaufen, was zu einem unbemerkten Sicherheitsrisiko führen könnte. Eine gezielte Information kann hingegen die Akzeptanz der Regelungen fördern und sicherstellen, dass alle Beteiligten ihre Rolle im Prozess verstehen und die Abläufe korrekt anwenden. Zur Umsetzung ist es sinnvoll die Dokumentation im Rahmen eines Onboarding-Prozesses bekanntzugeben und bei allen Änderungen eine automtatische Benachrichtigung aller zuständigen Personen oder Rollen anzustoßen." + } + ] + } + ] + }, + { + "id": "KONF.1.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Regelmäßige Überprüfung", + "params": [ + { + "id": "konf.1.2-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "2cd0c200-73ef-4fb3-a7e9-244dcb477c1c" + } + ], + "label": "regelmäßig" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "2cd0c200-73ef-4fb3-a7e9-244dcb477c1c" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "KONF.1.2_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Übungs- und Prüfplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Verfahren und Regelungen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{regelmäßig}} und anlassbezogen auf Aktualität" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überprüfen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Konfiguration MUSS die Verfahren und Regelungen {{ insert: param, konf.1.2-prm1 }} und anlassbezogen auf Aktualität überprüfen." + }, + { + "id": "KONF.1.2_gdn", + "name": "guidance", + "prose": "Eine geplante der etablierten Verfahren und Regelungen dient dazu festzustellen, ob diese noch wirksam, effizient und an die aktuellen Gegebenheiten angepasst sind. Eine anlassbezogene Überprüfung wird durch spezifische Ereignisse ausgelöst, wie etwa einen schwerwiegenden Sicherheitsvorfall, eine strategische Neuausrichtung der IT oder neue gesetzliche Anforderungen. Der Zweck dieser Anforderung ist es, die kontinuierliche Verbesserung und Anpassungsfähigkeit des Prozesses sicherzustellen, da veraltete Regelungen neuen technologischen Entwicklungen oder Bedrohungen nicht mehr gerecht werden könnten; ein vor Jahren für monolithische Anwendungen konzipierter Prozess ist beispielsweise für agile Entwicklungsmethoden oder Microservice-Architekturen ungeeignet. Die regelmäßige Überprüfung kann die Effektivität des Sicherheitsmanagements langfristig aufrechterhalten und die Resilienz der Institution stärken." + } + ] + }, + { + "id": "KONF.1.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Management von Werkzeugen", + "props": [ + { + "name": "alt-identifier", + "value": "b7e62d50-22e1-4900-a24e-33a3b84af297" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "KONF.1.3_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "verwendete Konfigurationswerkzeuge" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "einschließlich Verwendungszweck und Herkunft" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration SOLLTE verwendete Konfigurationswerkzeuge einschließlich Verwendungszweck und Herkunft dokumentieren." + }, + { + "id": "KONF.1.3_gdn", + "name": "guidance", + "prose": "Der Begriff Konfigurationswerkzeuge bezeichnet in diesem Zusammenhang alle technischen Hilfsmittel, mit denen Systemeinstellungen erstellt, verändert oder verwaltet werden – beispielsweise Skriptsprachen, Automatisierungs-Frameworks, Versionsverwaltungswerkzeuge oder grafische Konfigurationsoberflächen. Unter Verwendungszweck wird verstanden, welche Funktion das jeweilige Werkzeug innerhalb des Betriebs erfüllt, etwa für automatisierte Serverbereitstellung, Netzwerkkonfiguration oder Datenbankparametersteuerung. Mit Herkunft ist die Herkunft des Werkzeugs gemeint, d. h. ob es sich um Eigenentwicklungen, quelloffene Software oder kommerzielle Produkte handelt und aus welchen Quellen diese bezogen werden. Die Dokumentation dieser Punkte kann Transparenz schaffen und Nachvollziehbarkeit erhöhen, wodurch Fehlkonfigurationen oder Manipulationen schneller erkannt werden können. Ohne klare Übersicht könnte unklar bleiben, mit welchen Mitteln kritische Systeme verändert wurden, was die Ursachenanalyse im Störungsfall erheblich erschweren könnte. Eine saubere Dokumentation kann verhindern, dass nicht vertrauenswürdige oder nicht mehr gepflegte Werkzeuge unbemerkt im Betrieb verbleiben und so potenzielle Angriffsvektoren entstehen. Für die Umsetzung kann die Institution eine strukturierte Werkzeugliste führen, in der pro Eintrag neben Name, Version und Hersteller auch Zweck und Beschaffungsquelle vermerkt werden. Diese Liste kann in einem Konfigurations- oder Inventarsystem gepflegt werden, sodass Aktualisierungen automatisiert oder zumindest standardisiert erfolgen können. Praktisch kann es helfen, jedes neue Werkzeug vor Einsatz über ein Freigabeverfahren einzutragen und zu kennzeichnen, ob es intern geprüft wurde. Eine einfache Möglichkeit besteht darin, bestehende Versionskontrollsysteme oder zentrale Wiki-Seiten zu nutzen, die alle relevanten Informationen versioniert und nachvollziehbar speichern können. Dies kann auch durch eine Markierung der administrativen Werkzeuge im Inventar der Anwendungen umgesetzt werden." + } + ] + }, + { + "id": "KONF.1.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Einschränkung des Zugriffs auf Dokumentation", + "props": [ + { + "name": "alt-identifier", + "value": "ec046c76-92a1-4742-a056-4a11e51b2049" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + } + ], + "parts": [ + { + "id": "KONF.1.4_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "den Zugriff auf dokumentierte Konfigurationen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "einschränken" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration SOLLTE den Zugriff auf dokumentierte Konfigurationen einschränken." + }, + { + "id": "KONF.1.4_gdn", + "name": "guidance", + "prose": "„Dokumentierte Konfigurationen“ sind hierbei festgehaltene Einstellungen von IT-Systemen, Anwendungen, Netzwerken oder Sicherheitskomponenten, die in schriftlicher oder elektronischer Form vorliegen und den Sollzustand einer IT-Umgebung definieren. Der Zweck der Vorschrift liegt darin, die Integrität und Vertraulichkeit solcher Konfigurationsinformationen zu schützen. Ein unkontrollierter Zugriff könnte beispielsweise dazu führen, dass ein Unbefugter Passworteinstellungen oder Firewall-Regeln manipuliert. Aus der Konfiguration von IT-Systemen könnte ein Angreifer zudem wichtige Informationen zu möglichen Schwachstellen ablesen (z.B. bei technisch notwendiger Verwendung schwacher Verschlüsselungsalgorithmen oder unsicherer Authentisierungsprotokolle wie NTLM). Ein strikter Zugriffsschutz (z.B. durch restriktive Berechtigungen oder Verschlüsselung) verhindert den unberechtigten Zugriff zu diesen sensiblen Informationen. Praktisch hilfreich kann auch sein, Konfigurationen verschlüsselt abzulegen und bei elektronischen Repositories sogenannte „Branch Protection“-Mechanismen einzusetzen, sodass Änderungen nur über geprüfte Freigabeprozesse übernommen werden können. Auf Papier vorliegende Konfigurationen kann die Institution in verschlossenen Schränken oder Archiven mit eingeschränktem Personenkreis verwahren." + } + ] + }, + { + "id": "KONF.1.5", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Verschlüsselung von Konfigurationsgeheimnissen", + "props": [ + { + "name": "alt-identifier", + "value": "195fff6c-f5c2-466c-8a28-81b3167dad8d" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Cryptography" + } + ], + "parts": [ + { + "id": "KONF.1.5_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Konfigurationsgeheimnisse" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verschlüsseln" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration SOLLTE Konfigurationsgeheimnisse verschlüsseln." + }, + { + "id": "KONF.1.5_gdn", + "name": "guidance", + "prose": "Konfigurationsgeheimnissen sind sensitive, nicht-öffentliche Daten, die von Systemen, Applikationen oder Diensten zur Laufzeit benötigt werden, um auf andere Ressourcen zuzugreifen oder ihre eigene Funktionalität sicherzustellen. Bekannte Beispiele sind Anmeldeinformationen wie Passwörter, Datenbank-Verbindungszeichenfolgen (Connection Strings), API-Schlüssel oder private Schlüssel von Zertifikaten; im Englischen wird hierfür übergreifend der Fachbegriff Secrets verwendet. Der Zweck dieser Vorschrift ist die Sicherstellung der Vertraulichkeit dieser hochsensiblen Informationen. Ungeschützt im Klartext hinterlegt, könnte ein Angreifer bei einem unautorisierten Zugriff auf Konfigurationsdateien, Quellcode-Verzeichnisse oder Backups diese Geheimnisse direkt auslesen und damit weitreichenden Zugriff auf angebundene Systeme oder Daten erlangen." + } + ] + } + ] + }, + { + "id": "KONF.2", + "title": "Konfiguration von Systemen", + "props": [ + { + "name": "label", + "value": "2" + }, + { + "name": "alt-identifier", + "value": "c5a737da-f4f1-4e79-bd36-4600f2d4e6bb" + } + ], + "controls": [ + { + "id": "KONF.2.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Grundkonfiguration für Systeme", + "props": [ + { + "name": "alt-identifier", + "value": "8bd05aba-b395-43cf-a38e-f4e8656df7c4" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "KONF.2.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine Grundkonfiguration" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für IT-Systeme SOLLTE eine Grundkonfiguration dokumentieren." + }, + { + "id": "KONF.2.1_gdn", + "name": "guidance", + "prose": "Eine Grundkonfiguration (engl. baseline configuration) bezeichnet hier einen dokumentierten Ausgangszustand, der alle sicherheitsrelevanten Einstellungen, Dienste und Komponenten umfasst und als verbindlicher Referenzpunkt für den Betrieb und die Härtung dient. Sie stellt damit eine Art „Zielzustand“ dar, anhand dessen spätere Änderungen überprüft oder Abweichungen erkannt werden können. Ohne eine solche Referenz könnte es bei Installationen, Updates oder Wiederherstellungen zu unsicheren Abweichungen kommen, etwa wenn unnötige Dienste aktiv bleiben, Standardkonten nicht deaktiviert sind oder Kommunikationsschnittstellen unkontrolliert offenstehen; umgekehrt kann eine saubere Grundkonfiguration sicherstellen, dass Systeme konsistent, nachvollziehbar und auf Basis etablierter Sicherheitsanforderungen betrieben werden. Hierzu gehört z.B. die Konfiguration der Uhrensychronisation, von DNS und Verzeichnisdiensten, die Änderung von Default-Zugangsdaten oder der automatische Abruf benötigter Lizenzen. Die Umsetzung einer Grundkonfiguration kann durch verschiedene Maßnahmen unterstützt werden: (1) Es ist sinnvoll, Herstellerdokumentationen zu sichten und empfohlene Härtungseinstellungen (z. B. Deaktivierung unsicherer Protokolle) als Ausgangspunkt zu übernehmen. (2) Ergänzend können Empfehlungen des BSI oder Benchmarks wie die CIS Benchmarks herangezogen werden, um systematisch sicherheitskritische Parameter zu prüfen und einzupflegen. (3) Für komplexe Umgebungen kann ein Konfigurationsskript oder ein Automatisierungs-Tool (z. B. Ansible, Puppet, Chef) genutzt werden, um eine reproduzierbare Baseline einzuspielen und Abhängigkeiten der Komponenten konsistent zu berücksichtigen. Auf diese Weise kann die Institution sicherstellen, dass jede Installation oder Wiederherstellung eines Systems auf einer überprüfbaren und einheitlichen Basis erfolgt." + } + ], + "controls": [ + { + "id": "KONF.2.1.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Versionierung der Systemkonfiguration", + "props": [ + { + "name": "alt-identifier", + "value": "3b25d629-b441-4365-96fb-d06e2e35b89d" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "links": [ + { + "href": "#TEST.2.1", + "rel": "related" + } + ], + "parts": [ + { + "id": "KONF.2.1.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine Versionierung vorheriger Konfigurationen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für IT-Systeme SOLLTE eine Versionierung vorheriger Konfigurationen verankern." + }, + { + "id": "KONF.2.1.1_gdn", + "name": "guidance", + "prose": "Die Versionierung bezeichnet hier die strukturierte Nachvollziehbarkeit von Änderungen an Konfigurationen, also das Speichern, Dokumentieren und bei Bedarf Wiederherstellen älterer Zustände eines IT-Systems. Sie unterscheidet sich von einem einfachen Backup dadurch, dass nicht nur eine Kopie vorliegt, sondern explizit eine fortlaufende Historie mit Vergleichen, Rücksetzpunkten (rollback points) und optional Kommentaren geführt wird. Der Zweck liegt darin, dass eine ungewollte oder fehlerhafte Anpassung an einer Konfiguration im Betrieb schnell erkannt und – wenn erforderlich – präzise auf einen definierten, funktionsfähigen Zustand zurückgesetzt werden kann. Ohne eine solche Versionierung könnte eine fehlerhafte Änderung unbemerkt bleiben oder nur schwer rückgängig gemacht werden. Praktisch umgesetzt kann dies z. B. durch den Einsatz von Konfigurationsmanagement-Tools erfolgen, die automatisch Änderungen versionieren und mit Prüfsummen sichern. Alternativ kann eine Institution auch Konfigurationsdateien regelmäßig in ein Versionsverwaltungssystem wie Git einspielen. Zusätzlich kann es hilfreich sein, Konfigurationsänderungen über standardisierte Änderungsprozesse einzupflegen, sodass jede Anpassung nachvollziehbar protokolliert wird. Eine weitere Möglichkeit kann die Einrichtung von Skripten sein, die Konfigurationsstände automatisch aus Geräten exportieren und revisionssicher ablegen. Zur Umsetzung können Anwendungen zur Geheimnisverwaltung, oft als Secrets-Manager oder Vault bezeichnet, eingesetzt werden. Solche Anwendungen speichern alle Geheimnisse zentral und hochverschlüsselt und stellen sie erst bei Bedarf zur Laufzeit über eine authentifizierte und gesicherte Schnittstelle (API) zur Verfügung. Eine weitere, weit verbreitete Praxis ist die Auslagerung von Secrets aus den Konfigurationsdateien in Umgebungsvariablen (Environment Variables) des ausführenden Systems, wodurch eine strikte Trennung von Code und Konfiguration erreicht wird. Alternativ kann auch die Konfigurationsdatei selbst oder zumindest die Abschnitte, die Geheimnisse enthalten, verschlüsselt werden, wobei dies erfordert, dass der zur Entschlüsselung notwendige Schlüssel seinerseits sicher an die Applikation übergeben wird." + } + ] + } + ] + }, + { + "id": "KONF.2.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Kryptographische Verfahren in IT-Systemen", + "params": [ + { + "id": "konf.2.2-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "e4570c64-4790-4a5c-95e4-4c168d447566" + } + ], + "label": "anerkannten Standards" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "e4570c64-4790-4a5c-95e4-4c168d447566" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Cryptography" + } + ], + "links": [ + { + "href": "#BER.1.1", + "rel": "related" + } + ], + "parts": [ + { + "id": "KONF.2.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "kryptographische Verfahren" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "nach {{anerkannten Standards}} im Einklang mit den zugehörigen Anforderungen zum Identitäts- und Berechtigungsmanagement" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für IT-Systeme SOLLTE kryptographische Verfahren nach {{ insert: param, konf.2.2-prm1 }} im Einklang mit den zugehörigen Anforderungen zum Identitäts- und Berechtigungsmanagement aktivieren." + }, + { + "id": "KONF.2.2_gdn", + "name": "guidance", + "prose": "Kryptographie wird für die Authentifizierung, Verschlüsselung und Integritätprüfung in Systemen verwendet, z.B. bei der Verschlüsselung von Speichermedien, bei der Anmeldung am System, Transportverschlüsselung von Systemupdates oder Integritätsprüfung von Systemfunktionen. Die Formulierung \"im Einklang mit den zugehörigen Anforderungen zum Identitäts- und Berechtigungsmanagement\" bedeutet, dass die Funktionen so zu konfigurieren sind, wie in der Praktik Berechtigung (BER) festgelegt. Hierzu gehört insbesondere die Verwendung aktueller kryptographischer Verfahren, wie sie im Thema Kryptographie zu finden ist." + } + ] + }, + { + "id": "KONF.2.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Änderung von Default-Zugangsdaten", + "props": [ + { + "name": "alt-identifier", + "value": "14a61781-67a3-41c7-9f73-89d5809ea2b0" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "1" + } + ], + "parts": [ + { + "id": "KONF.2.3_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Änderung von Default-Zugangsdaten" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "ausführen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für IT-Systeme SOLLTE die Änderung von Default-Zugangsdaten ausführen." + }, + { + "id": "KONF.2.3_gdn", + "name": "guidance", + "prose": "\"Default-Zugangsdaten\" sind werkseitig voreingestellte Benutzername-Passwort-Kombinationen wie \"root\" oder \"administrator\", sowie vergleichbare Authentifizierungsmerkmale, die bei der Erstinbetriebnahme von IT-Systemen unverändert vorhanden sind. Diese Daten sind in der Regel öffentlich dokumentiert oder leicht im Internet auffindbar. Ihr Fortbestehen im Produktivbetrieb könnte ein erhebliches Risiko darstellen, da ein Angreifer mit minimalem Aufwand Zugriff auf Systeme erlangen könnte. Ein klassischer Vorfall könnte sein, dass ein öffentlich erreichbarer Router mit unveränderten Standardzugängen übernommen wird. Die Änderung kann demgegenüber sicherstellen, dass nur berechtigte Personen Zugriff erlangen, und kann damit unbefugte Manipulationen oder Datendiebstahl wirksam erschweren. Eine Institution kann die Anforderung umsetzen, indem bei der Inbetriebnahme jedes Systems ein Prozess etabliert wird, der die Standardzugangsdaten unmittelbar ersetzt. Dies kann beispielsweise (1) durch verpflichtende Initial-Setup-Routinen erfolgen, die eine Passwortänderung erzwingen, oder (2) durch zentrale Checklisten oder automatisierte Inventarisierung, die offene Standardzugänge identifizieren und schließen. Die Anforderung ist auch dann erfüllt, wenn diese Zugänge deaktiviert oder durch Zugänge mit von der Institution verwalteten Zugangsdaten ersetzt werden." + } + ] + }, + { + "id": "KONF.2.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Deaktivierung nicht benötigter Systemfunktionen", + "props": [ + { + "name": "alt-identifier", + "value": "24c072af-d71b-4d57-8b8f-119194e5cb8a" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + } + ], + "parts": [ + { + "id": "KONF.2.4_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "nicht benötigte Systemfunktionen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "deaktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für IT-Systeme SOLLTE nicht benötigte Systemfunktionen deaktivieren." + }, + { + "id": "KONF.2.4_gdn", + "name": "guidance", + "prose": "Die Deaktivierung von Funktionen, die für Betrieb oder aus Sicherheitssicht nicht benötigt werden, hilft, die Angriffsfläche und Fehlerkomplexität zu verringern, z.B. unnötige Identitäten, ggf. nicht benötigte Schnittstellen wie Bluetooth, nicht verwendete Netzprotokolle wie NTLMv1 Authentifizierung, schwache Verschlüsselungsalgorithmen wie TLS1.1, die Anzeige von Nachrichteninhalten auf dem Sperrbildschirm oder nicht benötigte System- oder Telemetriedienste. Relevant sind dabei sowohl Betriebssystem- als auch Firmwarefunktionen." + } + ], + "controls": [ + { + "id": "KONF.2.4.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Nicht benötigte Zertifikate", + "props": [ + { + "name": "alt-identifier", + "value": "4a22520b-123c-422a-a871-0bc5b20b9ec3" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "KONF.2.4.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "nicht benötigte Zertifikate" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "deaktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für IT-Systeme SOLLTE nicht benötigte Zertifikate deaktivieren." + }, + { + "id": "KONF.2.4.1_gdn", + "name": "guidance", + "prose": "Hierbei ist insbesondere an die vom Betriebssystem als vertrauenswürdig eingestuften Zertifizierungsstellen zu denken, wenn sie nicht länger benötigt werden. Verfügt das IT-System über keine Zertifikate, so ist die Anforderung entbehrlich." + } + ] + }, + { + "id": "KONF.2.4.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Externe Cloud-Anbindungen", + "props": [ + { + "name": "alt-identifier", + "value": "35875b35-0c23-473e-b1d6-1741c315dc88" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Data Leak" + } + ], + "parts": [ + { + "id": "KONF.2.4.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "nicht benötigte Cloud-Anbindungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "deaktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für IT-Systeme SOLLTE nicht benötigte Cloud-Anbindungen deaktivieren." + }, + { + "id": "KONF.2.4.2_gdn", + "name": "guidance", + "prose": "Eine Cloud-Anbindung ist eine technische Schnittstelle, über die ein IT-System Daten oder Dienste mit einer externen Cloud-Plattform austauscht. Dazu können sowohl direkte API-Integrationen wie die Anmeldung an Cloud-Verzeichnisdienste, aber auch automatische Synchronisationsmechanismen, Hintergrund-Updates über Cloud-Server oder agentenbasierte Remote-Management-Funktionen zählen. Nicht benötigte Anbindungen können dadurch identifiziert werden, dass sie weder für den produktiven Betrieb noch für Wartung, Support oder Sicherheitsfunktionen erforderlich sind. Der Sinn und Zweck dieser Regelung liegt darin, die Angriffsfläche zu reduzieren und unkontrollierte Datenflüsse zu vermeiden. Ein nicht genutzter, aber weiterhin aktiver Cloud-Connector könnte etwa unbemerkt sensible Metadaten an Drittdienste übertragen oder als Einfallstor für Schadsoftware missbraucht werden; die gezielte Deaktivierung kann dagegen unnötige Risiken eliminieren und die Übersichtlichkeit der Systemarchitektur erhöhen." + } + ] + } + ] + }, + { + "id": "KONF.2.5", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Überprüfung der Konfiguration", + "params": [ + { + "id": "konf.2.5-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "a37d5c17-d296-4810-ac13-4a15e7b40e97" + } + ], + "label": "regelmäßig" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "a37d5c17-d296-4810-ac13-4a15e7b40e97" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + } + ], + "links": [ + { + "href": "#KONF.2.1", + "rel": "required" + } + ], + "parts": [ + { + "id": "KONF.2.5_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Übereinstimmung der tatsächlichen Konfiguration mit dem Referenzzustand" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{regelmäßig}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überprüfen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für IT-Systeme SOLLTE die Übereinstimmung der tatsächlichen Konfiguration mit dem Referenzzustand {{ insert: param, konf.2.5-prm1 }} überprüfen." + }, + { + "id": "KONF.2.5_gdn", + "name": "guidance", + "prose": "Referenzzustand („baseline configuration“) bezeichnet hier die dokumentierte und freigegebene Konfiguration eines IT-Systems, also die gewünschte und autorisierte Einstellung von Parametern, Diensten und Komponenten. Die tatsächliche Konfiguration ist die aktuelle technische Umsetzung dieser Einstellungen auf dem System selbst. Der Abgleich beider Zustände dient vor allem der Vermeidung von Configuration Drift – d.h. dass Systeme schleichend von der definierten Soll-Konfiguration abweichen. Dies könnte auftreten, wenn Änderungen nicht zentral dokumentiert oder automatisierte Installationen nicht einheitlich umgesetzt werden. Ohne diese Kontrolle könnte es zu unbemerkten Fehlkonfigurationen kommen, die Sicherheitslücken öffnen oder Betriebsstörungen verursachen. Durch regelmäßige Vergleiche kann eine Institution sicherstellen, dass Systeme konsistent, vertrauenswürdig und wartbar bleiben. Eine praktische Umsetzung kann auf verschiedenen Ebenen erfolgen. Technisch kann eine Institution (1) Konfigurations-Management-Werkzeuge einsetzen, die Referenzzustand-Definitionen mit Systemzuständen automatisch abgleichen, (2) Skripte oder Policies nutzen, die regelmäßig Konfigurationsdateien oder Systemeinstellungen auslesen und protokollieren, oder (3) Hash- oder Signaturverfahren anwenden, um Veränderungen an Konfigurationsdateien nachzuweisen. Prozessual kann es hilfreich sein, Änderungen zentral zu dokumentieren und automatische Reports über Abweichungen an Verantwortliche weiterzuleiten, damit diese reagieren können. Zusätzlich kann eine Institution Pilotprüfungen an Stichproben-Systemen durchführen, um die Wirksamkeit automatischer Abgleiche zu validieren. Durch diese Maßnahmen kann eine Institution eine belastbare Routine etablieren, die Configuration Drift reduziert und nicht nur technische Abweichungen sichtbar macht, sondern auch menschliche Fehler oder unautorisierte Eingriffe frühzeitig erkennen kann." + } + ], + "controls": [ + { + "id": "KONF.2.5.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Automatische Konfigurationsverwaltung", + "params": [ + { + "id": "konf.2.5.1-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "fceb6b0b-2cf9-4644-9f48-c6b307b2d0ad" + } + ], + "label": "einen automatisierten Mechanismus" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "fceb6b0b-2cf9-4644-9f48-c6b307b2d0ad" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "parts": [ + { + "id": "KONF.2.5.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Überprüfung der Konfiguration durch {{einen automatisierten Mechanismus}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Konfiguration für IT-Systeme KANN die Überprüfung der Konfiguration durch {{ insert: param, konf.2.5.1-prm1 }} aktivieren." + }, + { + "id": "KONF.2.5.1_gdn", + "name": "guidance", + "prose": "Eine automatische Konfigurationsverwaltung ermöglicht eine einheitliche Konfiguration, z.B. für Passwortvorgaben, Verschlüsselung oder automatische Updates. Insbesondere bei der Verwaltung zahlreicher Endgeräte oder einer Bring Your Own Device Strategie (BYOD) bietet eine solche Verwaltung den einzig praktikablen Ansatz die Sicherheitsparameter der Geräte zu kontrollieren. Dies kann über selbst betriebenes zentrales Managementsystem (UEM oder MDM), Cloud-Dienste wie Intune oder Konfigurationsmanagement-Werkzeuge wie Ansible umgesetzt werden. Bei Abweichungen kann entweder ein automatisierter Mechanismus die erforderliche Konfiguration vornehmen, oder eine manuelle Entscheidung über die passende Behandlung erfolgen." + } + ], + "controls": [ + { + "id": "KONF.2.5.1.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Automatische Konfigurationsverwaltung", + "props": [ + { + "name": "alt-identifier", + "value": "c209d678-2ee3-48f9-8fce-016b4f49481c" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "KONF.2.5.1.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Endgeräte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Verwaltung durch ein Mobile Device Management (MDM)" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für Endgeräte SOLLTE die Verwaltung durch ein Mobile Device Management (MDM) verankern." + }, + { + "id": "KONF.2.5.1.1_gdn", + "name": "guidance", + "prose": "Die Konfigurationsanforderungen für Mobile Device Management (MDM) sind im BSI-Mindeststandard für MDM umfassend beschrieben. Es ist empfehlenswert, diese Mindestanforderungen heranzuziehen. Ergänzend wird empfohlen, sicherheitsrelevante Kriterien bereits bei der Produktauswahl zu berücksichtigen, vertrauenswürdige Apps durch Reputationsdienste zu prüfen, kompromittierte Geräte (z. B. durch Jailbreak oder Root) automatisiert zu erkennen und Geofencing zur kontextbezogenen Richtliniendurchsetzung einzusetzen." + } + ] + } + ] + } + ] + }, + { + "id": "KONF.2.6", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Souveräne Werkzeuge", + "props": [ + { + "name": "alt-identifier", + "value": "9b18fd2e-8300-49d5-b244-88df6674c5c6" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Hochverfügbarkeit" + } + ], + "parts": [ + { + "id": "KONF.2.6_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Souveräne Werkzeuge" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "installieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Konfiguration für IT-Systeme KANN Souveräne Werkzeuge installieren." + }, + { + "id": "KONF.2.6_gdn", + "name": "guidance", + "prose": "„Souveräne Werkzeuge“ sind Anwendungen, Systeme und physische Werkzeuge, die technisch, rechtlich und organisatorisch unabhängig von externen Herstellern, Cloud-Anbietern oder staatlicher Einflussnahme betrieben werden können. Das umfasst vor allem Lösungen, die lokal kontrollierbar und ohne zwingende Abhängigkeit zu externen Plattformen nutzbar sind. Der Sinn der Vorschrift liegt darin, die Handlungsfähigkeit und Sicherheit der Institution zu stärken: Ein rein cloudbasierter Konfigurationsdienst könnte durch einen plötzlichen Ausfall, eine staatlich erzwungene Sperrung oder durch nachträglich geänderte Lizenzbedingungen die Betriebsfähigkeit gefährden. Die Nutzung souveräner Werkzeuge kann dagegen die Verfügbarkeit kritischer Systeme erhöhen, die Datenhoheit bewahren und Manipulationsmöglichkeiten von Dritten minimieren. Souveräne Konfigurationssysteme machen unabhängig vor Ausfällen, Datenschutzverletzungen oder einseitigen Änderungen der Nutzungsbedingungen durch externe Dienstleister. Eine Institution kann diese Anforderung beispielsweise so umsetzen: (1) Es kann auf quelloffene Konfigurations-Frameworks zurückgegriffen werden, die lokal installiert und betrieben werden. (2) Virtualisierte oder containerisierte Varianten dieser Werkzeuge werden in der eigenen Infrastruktur betrieben, sodass keine unkontrollierten externen Abhängigkeiten entstehen. (3) Ergänzend kann ein internes Repository für Konfigurationsmodule eingerichtet werden, um eine vertrauenswürdige, geprüfte und nachvollziehbare Quellenbasis sicherzustellen." + } + ] + }, + { + "id": "KONF.2.7", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Alternative Administrationszugänge", + "props": [ + { + "name": "alt-identifier", + "value": "076ffb7b-6f9e-4f71-8752-cfaa290ee306" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Hochverfügbarkeit" + } + ], + "parts": [ + { + "id": "KONF.2.7_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "alternative Administrationszugänge" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "installieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Konfiguration für IT-Systeme KANN alternative Administrationszugänge installieren." + }, + { + "id": "KONF.2.7_gdn", + "name": "guidance", + "prose": "Das ist zum Beispiel von Bedeutung bei zentralen Systemen wie Firewalls und Router, bei deren Ausfall eine Fernwartung nicht mehr möglich ist. Hierzu können alternative Werkzeuge, sowie alternative Protokolle, Schnittstellen und Zugangskonten verwendet werden. Alternative Werkzeuge sind z.B. Kommandozeilenwerkzeuge, API-Schnittstellen oder die Konsole virtualisierter oder physischer Server, statt der Grafischen Benutzeroberfläche. Bei Cloud-Diensten kann dies z.B. durch Vorhalten von sowohl Browser-Zugang als auch CLI-Zugang geschehen. Alternative Zugangskonten sind z.B Break-Glass-Accounts, deren Zugangsdaten nur bei Notfällen aus einem Safe entnommen werden." + } + ] + }, + { + "id": "KONF.2.8", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Abgesicherter und authentisierter Bootprozess", + "props": [ + { + "name": "alt-identifier", + "value": "8d460d82-f7db-42c5-b213-625df4381ff3" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Cryptography, Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.2.8_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "einen abgesicherten und authentisierten Bootprozess" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Konfiguration für IT-Systeme KANN einen abgesicherten und authentisierten Bootprozess aktivieren." + }, + { + "id": "KONF.2.8_gdn", + "name": "guidance", + "prose": "Dies empfiehlt sich für eingebettete Systeme (Embedded Systems), indem z.B. der Bootloader die Integrität des Betriebssystems überprüft und es nur dann lädt, wenn es als korrekt eingestuft wurde. Ebenso empfiehlt es sich ein mehrstufiges Boot-Konzept mit kryptographisch sicherer Überprüfung der Einzelschritte zu realisieren, sichere Hardware-Vertrauensanker zu verwenden, bei ARM & UEFI-basierten Systemem jeweils (ARM) Secure Boot zu nutzen." + } + ] + } + ] + }, + { + "id": "KONF.3", + "title": "Physischer Schutz", + "props": [ + { + "name": "label", + "value": "3" + }, + { + "name": "alt-identifier", + "value": "1020ae3e-3137-428a-ac3a-345959b01a41" + } + ], + "controls": [ + { + "id": "KONF.3.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Kryptographischer Hardwarespeicher", + "props": [ + { + "name": "alt-identifier", + "value": "5c63c101-f2d6-479c-963c-0280bd2fb8a7" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung, Cryptography" + } + ], + "parts": [ + { + "id": "KONF.3.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "einen kryptographischen Hardwarespeicher" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für IT-Systeme SOLLTE einen kryptographischen Hardwarespeicher aktivieren." + }, + { + "id": "KONF.3.1_gdn", + "name": "guidance", + "prose": "Ein kryptographischer Hardwarespeicher bezeichnet in diesem Kontext eine gesicherte, hardwarebasierte Komponente, die kryptographische Schlüssel oder andere besonders sensible Geheimnisse in einer isolierten und manipulationsgeschützten Umgebung verwahrt. Der Einsatz solcher Speicher kann das Risiko deutlich reduzieren, dass kryptographische Schlüssel bei einem Softwareangriff kompromittiert werden, und kann gleichzeitig die Integrität sicherheitskritischer Prozesse wie Verschlüsselung, Signatur oder Authentifizierung erhöhen. Als Standards können hierzu etwa eine Trusted Execution Environment (TEE), Secure Elements (SE) or Dedicated Security Components (DSC) infrage kommen. Vgl. ISO/IEC 11889 (TPM 2.0), ISO/IEC 19790 / FIPS 140-3 oder ETSI EN 303 645 (für IoT)." + } + ] + }, + { + "id": "KONF.3.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Speicherverschlüsselung", + "props": [ + { + "name": "alt-identifier", + "value": "e760f62d-1c68-4665-b07b-5b2846550d59" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung, Cryptography" + } + ], + "parts": [ + { + "id": "KONF.3.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "integrierte Festspeichermedien" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verschlüsseln" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für IT-Systeme SOLLTE integrierte Festspeichermedien verschlüsseln." + }, + { + "id": "KONF.3.2_gdn", + "name": "guidance", + "prose": "Die Verschlüsselung von Datenträgern erschwert es Angreifern, Daten von verlorenen oder gestohlenen Geräten auszulesen. Die Verschlüsselung kann in Hard- oder Software (z.B. Windows BitLocker®, Apple FileVault®, Linux® dm-crypt) erfolgen. Für anerkannte kryptographische Algorithmen siehe BSI TR 02102." + } + ] + }, + { + "id": "KONF.3.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "SIM-PIN", + "props": [ + { + "name": "alt-identifier", + "value": "f2184ae3-ca55-4b77-9727-46deb4b9d0ff" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.3.3_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "bei Mobilfunkanschluss eine SIM-PIN" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für IT-Systeme SOLLTE bei Mobilfunkanschluss eine SIM-PIN aktivieren." + }, + { + "id": "KONF.3.3_gdn", + "name": "guidance", + "prose": "Eine SIM-PIN ist eine persönliche Identifikationsnummer, die direkt auf der SIM-Karte gespeichert wird und beim Starten oder Einlegen der Karte abgefragt wird. Sie dient nicht der Benutzeranmeldung am Endgerät selbst, sondern schützt den Mobilfunkanschluss auf Netzebene. Ohne aktivierte SIM-PIN könnte ein Angreifer bei Verlust oder Diebstahl einer SIM-Karte unmittelbar den Mobilfunkanschluss verwenden, etwa für kostenpflichtige Anrufe oder zum Abfangen von SMS-TANs. Die Aktivierung einer SIM-PIN kann somit eine missbräuchliche Nutzung deutlich erschweren, indem ein zusätzliches Hindernis für den unbefugten Zugriff auf Mobilfunkdienste geschaffen wird. Gilt auch für stationäre Systeme mit SIM oder Systeme die eine eSIM verwenden, da eine PIN je nach Diensteanbieter SIM-Swapping vorbeugen kann. Falls das System keine SIM-Karte verwendet, ist die Anforderung entbehrlich." + } + ] + }, + { + "id": "KONF.3.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Physischer Diebstahlschutz", + "props": [ + { + "name": "alt-identifier", + "value": "0984599f-2227-4f74-befe-5a1e11b656b0" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.3.4_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Endgeräte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Betriebshandbuch" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "einen physischen Diebstahlschutz" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "installieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Konfiguration für Endgeräte KANN einen physischen Diebstahlschutz installieren." + }, + { + "id": "KONF.3.4_gdn", + "name": "guidance", + "prose": "Ein physischer Diebstahlschutz bezeichnet im vorliegenden Kontext sämtliche Vorrichtungen oder Maßnahmen, die ein Entwenden von Endgeräten wie Laptops, Tablets oder Arbeitsplatzrechnern erschweren. Hierzu gehören insbesondere physische Schlösser, die mithilfe eines Stahlkabels mit einer dafür vorgesehenen Öffnung am Endgerät verbunden werden können, sodass das Endgerät an einem festen Gegenstand fixiert bleibt. Der Sinn dieser Vorgabe liegt darin, das Risiko zu reduzieren, dass ein Gerät durch unbefugte Dritte entwendet und dadurch der Zugriff auf gespeicherte Informationen oder Zugangsdaten ermöglicht wird. Ein Vorfall könnte entstehen, wenn ein Angreifer ein ungesichertes Notebook während einer Konferenz oder in einem Büro mitnimmt und darüber unverschlüsselte Daten ausliest. Ein angemessen eingesetzter Diebstahlschutz kann die Gelegenheit zum Zugriff verringern, den Aufwand für einen Angreifer erhöhen und so die Wahrscheinlichkeit für den Verlust sensibler Informationen deutlich reduzieren. Zur praktischen Umsetzung kann eine Institution unterschiedliche Maßnahmen wählen. So kann ein Laptop-Kabelschloss genutzt werden, um mobile Geräte temporär an Arbeitsplätzen zu sichern, oder ein Schließfachschrank kann für Aufbewahrung außerhalb der Nutzungszeiten vorgesehen sein. Für stationäre Systeme kann eine feste Verschraubung mit dem Schreibtisch oder die Unterbringung in abschließbaren Möbeln erfolgen. Ergänzend kann eine Institution darauf achten, Geräte mit serienmäßig integrierten Vorrichtungen (z. B. Verriegelungsöffnungen für Kabelschlösser) zu beschaffen, um eine flexible Sicherung zu ermöglichen. Auch das Kennzeichnen von Geräten durch gravierte Inventarnummern oder gut sichtbare Eigentumsaufkleber kann eine zusätzliche Abschreckungswirkung entfalten." + } + ] + }, + { + "id": "KONF.3.5", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Standortbestimmung", + "params": [ + { + "id": "konf.3.5-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "4a18939a-0972-4ac7-9584-18fffde38db6" + } + ], + "label": "durch einen automatisierten Mechanismus" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "4a18939a-0972-4ac7-9584-18fffde38db6" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.3.5_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine Funktion zur Bestimmung des Standortes aus der Ferne" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{durch einen automatisierten Mechanismus}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Konfiguration für IT-Systeme KANN eine Funktion zur Bestimmung des Standortes aus der Ferne {{ insert: param, konf.3.5-prm1 }} aktivieren." + }, + { + "id": "KONF.3.5_gdn", + "name": "guidance", + "prose": "Der Begriff automatisierter Mechanismus bezeichnet im gegebenen Kontext ein technisches Verfahren, das ohne manuelle Eingriffe die Standortbestimmung eines IT-Systems ermöglicht. Dies kann etwa durch GALILEO- oder GPS-Sensoren, durch WLAN- oder Mobilfunkortung, sowie durch Auswertung netzwerktechnischer Parameter erfolgen. Der Rückgriff auf die Standortbestimmung mittels Mobilfunksignal oder WLANs in der Nähe ist nur empfehlenswert, wenn das System die Satellitenbestimmung nicht unterstützt. Der Sinn dieser Vorschrift liegt darin, potenzielle Risiken durch unkontrollierte Standortänderungen oder verdeckte Verlagerungen von IT-Systemen zu reduzieren. Ein Vorfall könnte eintreten, wenn ein Server oder Endgerät unbemerkt aus einem gesicherten Bereich entfernt wird und dadurch sensible Daten oder Konfigurationen kompromittiert werden. Im positiven Fall kann die Standortbestimmung Transparenz über den Verbleib kritischer Systeme schaffen und so die Reaktionsfähigkeit bei Diebstahl oder Verlust erhöhen. Ein praktischer Ansatz kann sein, dass Systeme beim Start ihre Position automatisch protokollieren, sodass Abweichungen vom erwarteten Standort erkannt werden. Alternativ kann eine Softwarelösung eingesetzt werden, die Netzwerkverbindungen auf bestimmte Geozonen überprüft. Beachten Sie hierbei auch den Zusammenhang mit den Verfahren und Regelungen zum Informations- und Assetmanagement, sowie zur Detektion von Sicherheitsvorfällen, etwa dass Standortdaten regelmäßig in ein zentrales Monitoring-Tool eingespielt und mit erlaubten Standorten abgeglichen werden. Um technische Ressourcenauslastung und Datenschutz angemessen auszubalancieren ist es zweckmäßig dies nur für besonders schutzbedürftige Geräte vorzusehen und klar festzulegen, ob die Standortbestimmung kontinuierlich, ereignisbezogen oder stichprobenartig erfolgt." + } + ] + }, + { + "id": "KONF.3.6", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Fernlöschung oder -sperre", + "props": [ + { + "name": "alt-identifier", + "value": "4757578a-1000-49e7-96fa-d91affa2c768" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.3.6_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Endgeräte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine Funktion zur Fernlöschung oder -sperre" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Konfiguration für Endgeräte KANN eine Funktion zur Fernlöschung oder -sperre aktivieren." + }, + { + "id": "KONF.3.6_gdn", + "name": "guidance", + "prose": "Eine automatische Fernlöschung meint hier die technische Möglichkeit, gespeicherte Daten eines Endgeräts über eine externe Steuerung dauerhaft zu entfernen, während eine Fernsperre das Gerät durch zentral initiierte Befehle unbenutzbar macht, ohne die Daten selbst zu löschen. Funktionen zur Fernlöschung (Remote Wiping) sind insbesondere relevant auf allen mobilen Endgeräten, damit bei Bedarf (z.B. wenn das Endgerät verloren geht oder gestohlen wird) alle Daten auf dem Gerät aus der Ferne gelöscht werden können. Ohne eine solche Funktion könnte ein verlorenes, vergessenes oder unzureichend zurückgesetztes Gerät Daten preisgeben oder unbefugt weiterverwendet werden. Für stationäre Endgeräte ist die Anforderung entbehrlich." + } + ], + "controls": [ + { + "id": "KONF.3.6.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Automatische Fernlöschung oder -sperre", + "params": [ + { + "id": "konf.3.6.1-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "ffc45c05-597f-4be9-9358-124b4a008e50" + } + ], + "label": "einer längeren Frist" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "ffc45c05-597f-4be9-9358-124b4a008e50" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.3.6.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Endgeräte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine automatische Fernlöschung oder -sperre" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "bei Inaktivität nach {{einer längeren Frist}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Konfiguration für Endgeräte KANN eine automatische Fernlöschung oder -sperre bei Inaktivität nach {{ insert: param, konf.3.6.1-prm1 }} aktivieren." + }, + { + "id": "KONF.3.6.1_gdn", + "name": "guidance", + "prose": "Beide Mechanismen können bei längerer Inaktivität ausgelöst werden, also wenn ein Endgerät über einen bestimmten Zeitraum hinweg nicht mehr mit den Systemen der Institution in Kontakt steht oder nicht genutzt wird. Als angemessene Frist für eine solche Inaktivität können z. B. 30 Tage, 60 Tage oder 90 Tage definiert werden, abhängig vom Sicherheitsbedarf und der Einsatzumgebung. Dies kann verhindern, dass ungenutzte Geräte mit sensiblen Daten in Umlauf bleiben oder in falsche Hände geraten. Ein automatisches Entfernen oder Sperren kann hier das Risiko eines Datenabflusses erheblich reduzieren und gleichzeitig eine Kontrolle über den Gerätelebenszyklus sichern. Zur Umsetzung kann die Institution beispielsweise Mobile-Device-Management-Lösungen einsetzen, die nach Ablauf der gewählten Frist automatisiert Fernlöschung oder Fernsperre auslösen. Alternativ kann eine Endpoint-Security-Lösung integriert werden, die periodisch prüft, ob das Gerät eine Verbindung zum Netz herstellt, und bei Überschreiten des Schwellenwerts eine definierte Aktion anstößt. Auch ein Prozess, bei dem Inaktivität zunächst mit einer Warnmeldung angekündigt wird, bevor tatsächlich gesperrt oder gelöscht wird, kann die Benutzerfreundlichkeit erhöhen." + } + ] + } + ] + }, + { + "id": "KONF.3.7", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Einschränkung angeschlossener Peripherie", + "props": [ + { + "name": "alt-identifier", + "value": "e699dfd7-ecc7-4ca6-bce8-3cd1ba44804d" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "links": [ + { + "href": "#ASST.3.11.1", + "rel": "required" + } + ], + "parts": [ + { + "id": "KONF.3.7_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "angeschlossene Peripherie" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "einschränken" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für IT-Systeme SOLLTE angeschlossene Peripherie einschränken." + }, + { + "id": "KONF.3.7_gdn", + "name": "guidance", + "prose": "Peripherie bezeichnet angeschlossene Geräte, die über Schnittstellen wie USB, Bluetooth oder andere Ports mit dem IT-System kommunizieren. Gemeint sind sowohl physische Peripheriegeräte wie Drucker, USB-Sticks oder Netzanbindungen, als auch die Installation virtueller Peripherie z.B. virtuelle Druckertreiber. Einschränkung bedeutet hierbei, dass die Nutzung von Peripheriegeräten verhindert wird, die nicht von der Institution autorisiert wurden, abhängig vom Einsatzzweck des Systems. Der Sinn und Zweck dieser Regelung liegt darin, Angriffsflächen zu verringern und das Einschleusen oder Abfließen von Daten zu erschweren. So könnte ein unkontrollierter Anschluss externer USB-Sticks Schadsoftware einschleusen oder sensible Daten unbemerkt kopieren, während eine restriktive Konfiguration unautorisierte Datenabflüsse wirksam verhindern kann." + } + ] + }, + { + "id": "KONF.3.8", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Einschränkung von Wechselmedien", + "props": [ + { + "name": "alt-identifier", + "value": "54314ee4-e904-4ae2-b348-7460f6ebb338" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.3.8_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "das automatische Einbinden von Wechselmedien" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "einschränken" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für IT-Systeme SOLLTE das automatische Einbinden von Wechselmedien einschränken." + }, + { + "id": "KONF.3.8_gdn", + "name": "guidance", + "prose": "Funktionen, die Wechselmedien automatisch einbinden und Inhalte darauf öffnen oder ausführen könnten zur unkontrollierter Verbreitung von Schadcode beitragen. Betrifft z.B. CD/DVD-Laufwerke, Bandlaufwerke oder USB-Sticks. Dies Kann umgesetzt werden, indem die Einbindung in das Betriebssystem durch spezielle Managementanwendungen blockiert wird oder auch durch systemeigene Sicherheitsfunktionen, z.B. indem alle Dateien auf Wechselmedien als nicht ausführbar markiert sind (Mount-Option „noexec“). Verfügt das IT-System über keine Anschlussmöglichkeit für Wechsellaufwerke, so ist die Anforderung entbehrlich." + } + ] + } + ] + }, + { + "id": "KONF.4", + "title": "Vertrauenswürdige Basisdienste", + "props": [ + { + "name": "label", + "value": "4" + }, + { + "name": "alt-identifier", + "value": "9d2b99f4-e2fd-4586-9389-5b8d47a5602a" + } + ], + "controls": [ + { + "id": "KONF.4.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Anbindung an Verzeichnisdienst", + "props": [ + { + "name": "alt-identifier", + "value": "99b370b9-b48c-4f68-b88c-d44ef31f83e0" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.4.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Anbindung an einen Verzeichnisdienst" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für IT-Systeme SOLLTE die Anbindung an einen Verzeichnisdienst aktivieren." + }, + { + "id": "KONF.4.1_gdn", + "name": "guidance", + "prose": "Anbindung meint hier die Authentifizierung und Autorisierungsprüfung von Zugangskonten über einen Verzeichnisdient (häufig auch als Directory Service bezeichnet). Dies ermöglicht die zentrale Verwaltung von Identitäten und deren Berechtigungen. Dies bedeutet, dass Zugriffsrechte für alle angebundenen Systeme zentral verwaltet und bei Bedarf umgehend angepasst werden können, was die Einhaltung des Prinzips der geringsten Rechte (Principle of Least Privilege) unterstützt. Ein häufiger Ansatz zur technischen Umsetzung ist die Verwendung von Protokollen wie LDAP (Lightweight Directory Access Protocol) oder der Einsatz von Single Sign-On (SSO) Lösungen, die eine einmalige Authentifizierung des Nutzers für mehrere Systeme ermöglichen. Institutionen können dabei die Anbindung neuer Systeme durch Automatisierung im Rahmen des Provisioning-Prozesses sicherstellen, um menschliche Fehler zu reduzieren. Beispielsweise könnte ein Standard-Skript bei der Installation eines neuen Servers dessen automatische Anbindung an den Verzeichnisdient veranlassen. In Windows Betriebssystemen erfolgt die Konfiguration des Betriebssystem über entsprechende Gruppenrichtlinien (Group Policy Object) aus dem Active Directory." + } + ], + "controls": [ + { + "id": "KONF.4.1.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Weiterleitung von Anmeldeinformationen", + "props": [ + { + "name": "alt-identifier", + "value": "6089e247-2518-4c90-b991-df8cbb24585f" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung, Lateral Movement" + } + ], + "parts": [ + { + "id": "KONF.4.1.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Weiterleitung mehrfach verwendbarer Anmeldeinformationen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "deaktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für IT-Systeme SOLLTE die Weiterleitung mehrfach verwendbarer Anmeldeinformationen deaktivieren." + }, + { + "id": "KONF.4.1.1_gdn", + "name": "guidance", + "prose": "„Weiterleitung mehrfach verwendbarer Anmeldeinformationen“ (auch als Credential Forwarding oder Credential Delegation bekannt) meint technische Mechanismen, bei denen die Anmeldeinformationen eines Zugangskontos (z.B. Kennworthashes oder Kerberos-Tickets) an ein zweites System weitergereicht werden, um sich dort ebenfalls zu authentifizieren, ohne die Daten erneut eingeben zu müssen. Ziel der Deaktivierung ist hier die Unterbrechung von Angriffsketten, die auf dem Diebstahl von Zugangsdaten basieren. Ein Angreifer könnte sonst nach der Kompromittierung eines weniger kritischen Systems, wie einem Webserver, die dorthin weitergeleiteten Anmeldeinformationen eines Administrators aus dem Arbeitsspeicher auslesen und sich mit diesen Rechten unbemerkt im gesamten Netzwerk weiter ausbreiten (Laterale Bewegung). Das gezielte Deaktivieren des Credential Forwarding kann die Angriffsfläche erheblich reduzieren und solche „Pass-the-Hash“- oder „Pass-the-Ticket“-Angriffe effektiv eindämmen, da Anmeldeinformationen mit hohen Privilegien gar nicht erst auf unsichere Systeme gelangen. Stattdessen kann die Authentifizierung ausschließlich temporäre, eingeschränkte Tickets oder Tokens verwenden. Hierzu gehören z.B. Windows Remote Credential Guard oder RestrictedAdmin, sowie unter Linux SSH-Agent Forwarding oder GSSAPI. Eine Token-basierte Authentifizierung ist eine Strategie zur Verbesserung der Informationssicherheit. Nachdem Benutzende ihre Anmeldedaten eingegeben haben, werden diese überprüft und ein einmaliges verschlüsseltes Token generiert, mit dem sie anschließend auf Online-Ressourcen zugreifen können, ohne bei jeder Anfrage ihren Benutzernamen und ihr Passwort eingeben zu müssen. Bei SSH-Verbindungen kann die unsichere „Agent Forwarding“-Funktion serverseitig in der Konfigurationsdatei deaktiviert werden." + } + ] + } + ] + }, + { + "id": "KONF.4.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "DNS-Anbindung", + "props": [ + { + "name": "alt-identifier", + "value": "490400dc-4769-4127-9869-720a3ce1585c" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.4.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die vom System verwendeten DNS-Server" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "autorisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für IT-Systeme SOLLTE die vom System verwendeten DNS-Server autorisieren." + }, + { + "id": "KONF.4.2_gdn", + "name": "guidance", + "prose": "Autorisierte DNS-Server sind hier Resolving-Server, die von der Institution autorisiert wurden. Dies können entweder DNS-Server der Institution selbst oder externe DNS-Server zuverlässiger Anbieter sein." + } + ], + "controls": [ + { + "id": "KONF.4.2.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "DNS-Verschlüsselung", + "params": [ + { + "id": "konf.4.2.1-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "ccb6bfb1-1b49-4d03-9705-2d05bca018b5" + } + ], + "label": "einen anerkannten kryptographischen Algorithmus" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "ccb6bfb1-1b49-4d03-9705-2d05bca018b5" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung, Cryptography" + } + ], + "parts": [ + { + "id": "KONF.4.2.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "DNS-Verbindungen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "durch {{einen anerkannten kryptographischen Algorithmus}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verschlüsseln" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für IT-Systeme SOLLTE DNS-Verbindungen durch {{ insert: param, konf.4.2.1-prm1 }} verschlüsseln." + }, + { + "id": "KONF.4.2.1_gdn", + "name": "guidance", + "prose": "DNS-Verschlüsselung, im Englischen oft als DNS over TLS (DoT) oder DNS over HTTPS (DoH) bezeichnet, ist ein Verfahren, bei dem Anfragen zur Namensauflösung im Internet kryptographisch geschützt werden, um deren Vertraulichkeit und Integrität sicherzustellen. Erfolgen diese Anfragen unverschlüsselt, könnte ein Angreifer im Netz die aufgerufenen Webseiten und Dienste eines Nutzers mitlesen und protokollieren. Schlimmer noch, ein Angreifer könnte die Antworten manipulieren, um den Nutzer unbemerkt auf gefälschte Webseiten umzuleiten, beispielsweise für Phishing-Angriffe. Die Aktivierung der DNS-Verschlüsselung kann einem solchen Ausspähen und Manipulieren der Namensauflösung effektiv entgegenwirken und stellt sicher, dass die Kommunikation zwischen dem Client und dem DNS-Server authentisch und nicht einsehbar ist. Nutzt das System kein DNS, so ist die Anforderung entbehrlich." + } + ] + } + ] + }, + { + "id": "KONF.4.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Authentifizierung von Fernwartungsfunktionen", + "props": [ + { + "name": "alt-identifier", + "value": "6fa4659a-8472-4d26-9f3b-a3edfa412a8c" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "links": [ + { + "href": "#BER.1.1", + "rel": "related" + } + ], + "parts": [ + { + "id": "KONF.4.3_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Fernwartungsfunktionen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "im Einklang mit den zugehörigen Anforderungen zum Identitäts- und Berechtigungsmanagement" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "authentifizieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für IT-Systeme SOLLTE Fernwartungsfunktionen im Einklang mit den zugehörigen Anforderungen zum Identitäts- und Berechtigungsmanagement authentifizieren." + }, + { + "id": "KONF.4.3_gdn", + "name": "guidance", + "prose": "Unter Fernwartungsfunktionen versteht man technische Zugänge, die es ermöglichen, IT-Systeme aus der Ferne zu administrieren oder Fehler zu beheben, etwa über Protokolle wie RDP, SSH oder proprietäre Remote-Support-Lösungen. Fernwartungsfunktionen könnten für eine Institution erhebliche Risiken bergen, wenn ihre Nutzung nicht eindeutig authentifiziert wird. Ohne verlässliche Identitäts- und Berechtigungsprüfung könnte ein Unbefugter über eine Remote-Schnittstelle auf Systeme zugreifen, Konfigurationen manipulieren oder Schadsoftware einschleusen. Die Formulierung \"im Einklang mit den zugehörigen Anforderungen zum Identitäts- und Berechtigungsmanagement\" bedeutet, dass die Authentifizierung so erfolgt, wie in der Praktik Berechtigung (BER) festgelegt. Hierzu gehört insbesondere die Verwendung aktueller kryptographischer Verfahren, wie sie im Thema Kryptographie zu finden ist." + } + ] + }, + { + "id": "KONF.4.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Einschränkung von Fernwartungsfunktionen", + "props": [ + { + "name": "alt-identifier", + "value": "2e782e35-d708-49c3-b022-76616ae204be" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "links": [ + { + "href": "#BER.1.1", + "rel": "related" + } + ], + "parts": [ + { + "id": "KONF.4.4_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Fernwartungsfunktionen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "im Einklang mit den zugehörigen Anforderungen zum Identitäts- und Berechtigungsmanagement" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "einschränken" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für IT-Systeme SOLLTE Fernwartungsfunktionen im Einklang mit den zugehörigen Anforderungen zum Identitäts- und Berechtigungsmanagement einschränken." + }, + { + "id": "KONF.4.4_gdn", + "name": "guidance", + "prose": "Fernwartungszugänge, etwa über RDP, SNMP oder Anwendungen zur Fernsteuerung des Systems erlauben typischerweise eine Vielzahl von Eingriffen in Systemkonfiguration und Datenverarbeitungen. Beispiele sind die Remote-Zwischenablage und die automatische Einbindung von Peripheriegeräten, Wechseldatenträgern und Netzlaufwerken. Unautorisierte Fernwartungszugänge könnten für Angriffe missbraucht werden. Die Formulierung \"im Einklang mit den zugehörigen Anforderungen zum Identitäts- und Berechtigungsmanagement\" bedeutet, dass die Authentifizierung so erfolgt, wie in der Praktik Berechtigung (BER) festgelegt. Hierzu gehört insbesondere die Verwendung aktueller kryptographischer Verfahren, wie sie im Thema Kryptographie zu finden ist." + } + ] + }, + { + "id": "KONF.4.5", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Zeitquellen", + "props": [ + { + "name": "alt-identifier", + "value": "92eee157-2b9b-4a80-8f17-4b124590d72f" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.4.5_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Zeitquellen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "autorisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für IT-Systeme SOLLTE Zeitquellen autorisieren." + }, + { + "id": "KONF.4.5_gdn", + "name": "guidance", + "prose": "Eine einheitliche Zeitquelle für die Systemuhr (meist über NTP oder PTP) ist essenziell für die einheitliche Auswertung von Logdateien, sowie für moderne kryptographische Verfahren. Es empfiehlt sich zu definieren, welche NTP-Server von welchen NTP-Clients genutzt werden sollen und ob NTP-Server im Broadcast-Modus oder im Client-Server-Modus arbeiten. Letzteres (Client-Server) ist hierbei Best Practice. In bestimmten Fällen empfiehlt es sich außerdem, dass sich NTP-Server bei der Kommunikation gegenüber Clients authentisieren und demnach NTP-Clients nur authentifizierte NTP-Daten akzeptieren." + } + ] + } + ] + }, + { + "id": "KONF.5", + "title": "Authentifizierung", + "props": [ + { + "name": "label", + "value": "5" + }, + { + "name": "alt-identifier", + "value": "618d8261-144b-478d-a003-dde3c830b0e6" + } + ], + "controls": [ + { + "id": "KONF.5.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Authentifizierung am System", + "props": [ + { + "name": "alt-identifier", + "value": "cc0d5002-8ef3-434c-b19f-15f0f226a6cb" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "1" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "links": [ + { + "href": "#BER.1.1", + "rel": "related" + } + ], + "parts": [ + { + "id": "KONF.5.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "den Zugriff auf das System" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "im Einklang mit den zugehörigen Anforderungen zum Identitäts- und Berechtigungsmanagement" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "authentifizieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für IT-Systeme SOLLTE den Zugriff auf das System im Einklang mit den zugehörigen Anforderungen zum Identitäts- und Berechtigungsmanagement authentifizieren." + }, + { + "id": "KONF.5.1_gdn", + "name": "guidance", + "prose": "Betrifft sowohl die lokale Anmeldung über eine Benutzeroberfläche als auch den Zugriff über Fernwartungsprotokolle oder -anwendungen wie RDP, SNMP, wenn diese vorhanden sind. Die Umsetzung erfolgt im einfachsten Fall durch einen Login, bzw. eine Bildschirmsperre für das IT-System. Biometrische Daten wie Fingerabdrücke können gefälscht werden und sind nicht so leicht zu ändern wie Passwörter. Setzen Sie Biometrie daher nicht als einzigen Authentifizierungsfaktor ein, sondern wenn, dann nur zur Ergänzung (Mehr-Faktor-Authentifizierung). Die Formulierung \"im Einklang mit den zugehörigen Anforderungen zum Identitäts- und Berechtigungsmanagement\" bedeutet, dass die Authentifizierung so erfolgt, wie in der Praktik Berechtigung (BER) festgelegt. Hierzu gehört insbesondere die Verwendung aktueller kryptographischer Verfahren, wie sie im Thema Kryptographie zu finden ist. Die Anforderung ist entbehrlich, wenn das System keinen Zugriff auf schützenswerte Daten erlaubt, z.B. bei Nutzung als Kiosk." + } + ], + "controls": [ + { + "id": "KONF.5.1.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Authentifizierung an der Firmware", + "props": [ + { + "name": "alt-identifier", + "value": "e9bd0b40-47ed-4e4d-a747-ad71884f076f" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "1" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "links": [ + { + "href": "#BER.1.1", + "rel": "related" + } + ], + "parts": [ + { + "id": "KONF.5.1.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "den Zugriff auf die Firmware" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "im Einklang mit den zugehörigen Anforderungen zum Identitäts- und Berechtigungsmanagement" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "authentifizieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für IT-Systeme SOLLTE den Zugriff auf die Firmware im Einklang mit den zugehörigen Anforderungen zum Identitäts- und Berechtigungsmanagement authentifizieren." + }, + { + "id": "KONF.5.1.1_gdn", + "name": "guidance", + "prose": "Durch unautorisierte Änderungen an Einstellungen der Firmware (UEFI oder Embedded System) könnten Fehlerzustände entstehen oder Sicherheitsfunktionen wie TPM deaktiviert werden. Dies kann je nach Firmware durch lokale Zugangspasswörter oder zentrale Berechtigung umgesetzt werden. Hierbei sind insbesondere Einstellungen von Sicherheitsfunktionen oder der Netzanbindung relevant. Die Formulierung \"im Einklang mit den zugehörigen Anforderungen zum Identitäts- und Berechtigungsmanagement\" bedeutet, dass die Authentifizierung so erfolgt, wie in der Praktik Berechtigung (BER) festgelegt. Hierzu gehört insbesondere die Verwendung aktueller kryptographischer Verfahren, wie sie im Thema Kryptographie zu finden ist." + } + ] + }, + { + "id": "KONF.5.1.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Pre-Boot-Authentifizierung", + "props": [ + { + "name": "alt-identifier", + "value": "89f6db4b-b55b-4218-aad6-6f5c33a49ee6" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.5.1.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Endgeräte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "den Zugriff vor dem Start des Betriebssystems" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "authentifizieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Konfiguration für Endgeräte KANN den Zugriff vor dem Start des Betriebssystems authentifizieren." + }, + { + "id": "KONF.5.1.2_gdn", + "name": "guidance", + "prose": "Diese Authentifizierung vor dem Start, oft als \"Pre-Boot Authentication\" (PBA) oder \"Hardware-based Authentication\" bezeichnet, verhindert, dass ein Gerät gestartet wird, bevor sich Nutzende mit Anmeldeinformationen, wie zum Beispiel einem Passwort oder einem biometrischen Merkmal, autorisiert haben. Ohne diese Authentifizierung könnte ein Angreifer versuchen, das Gerät direkt zu booten, die Festplatte zu kopieren oder zu manipulieren, um sensitive Daten zu extrahieren. Eine gängige Methode ist die Verwendung einer Festplattenverschlüsselung (Full Disk Encryption, FDE) mit einer Pre-Boot-Authentifizierung. Eine Institution könnte auch eine Mehr-Faktor-Authentifizierung (MFA) vor dem Start des Betriebssystems einsetzen, beispielsweise indem ein Hardware-Token oder ein biometrischer Scan zusätzlich zum Passwort erforderlich ist, was die Sicherheit weiter erhöht." + } + ] + } + ] + }, + { + "id": "KONF.5.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Keine Mehrfachanmeldung", + "props": [ + { + "name": "alt-identifier", + "value": "71f7d8c3-4e50-45b8-a01a-5ee7b957d31b" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.5.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die gleichzeitige Anmeldung mehrerer Zugangskonten" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "deaktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für IT-Systeme SOLLTE die gleichzeitige Anmeldung mehrerer Zugangskonten deaktivieren." + }, + { + "id": "KONF.5.2_gdn", + "name": "guidance", + "prose": "Wenn Nutzende mit verschiedenen Identitäten simultan im System angemeldet sind, erhöht sich das Risiko von versehentlichen Datenvermischungen oder Falscheingaben deutlich. Dies kann besonders in sensiblen Bereichen wie im Finanzwesen oder Gesundheitswesen schwerwiegende Folgen haben, wo vertrauliche Kundendaten oder Patienteninformationen unbeabsichtigt zwischen verschiedenen Kontexten übertragen werden könnten. Bei Vorfällen wird so auch erschwert herauszufinden, von welchem Zugangskonto bestimmte Ereignisse stammen." + } + ] + } + ] + }, + { + "id": "KONF.6", + "title": "Rollen und Berechtigungen", + "props": [ + { + "name": "label", + "value": "6" + }, + { + "name": "alt-identifier", + "value": "2bad4a78-2487-4d7d-838b-8a47addae235" + } + ], + "controls": [ + { + "id": "KONF.6.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Minimal erforderliche Berechtigungen für Anwendungen", + "props": [ + { + "name": "alt-identifier", + "value": "cc6a9a9d-cb65-4e22-aad5-d93f73e522b8" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.6.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "erforderliche Berechtigungen für Anwendungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "einschränken" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für IT-Systeme SOLLTE erforderliche Berechtigungen für Anwendungen einschränken." + }, + { + "id": "KONF.6.1_gdn", + "name": "guidance", + "prose": "Ziel ist es, Angriffsflächen zu minimieren und unerwünschte Seiteneffekte zu vermeiden. Durch restriktive Rechtevergabe pro App lässt sich das Risiko für Zugriffe auf sensible Bereiche stark senken. Gleichzeitig trägt dieses Prinzip dazu bei, eine klare Trennung zwischen den einzelnen Systemkomponenten zu bewahren und unkontrollierte Wechselwirkungen zu verhindern. Beispiele sind Lese- und Schreibrechte für Verzeichnisse, insbesondere für Systemverzeichnisse, Berechtigungen zum Zugriff auf Sensoren oder Peripheriegeräte, sowie der Netzzugriff. Um die Umsetzung zu erleichtern können Berechtigungsprofile erstellt werden, die je nach Anwendungsklasse (z. B. Office, Multimedia, Tools) eine Basislinie an Privilegien definieren. Diese Profile können in einer zentralen Verwaltungssoftware (z. B. über Gruppenrichtlinien oder ein Mobile‑Device‑Management) hinterlegt und automatisch auf neue Installationen angewendet werden. Vor der Freigabe einer Softwareinstallation kann ein Reviewprozess etabliert werden, bei dem anhand von Funktionsdokumentationen geprüft wird, welche minimalen Rechte erforderlich sind. Darüber hinaus kann der Einsatz von Sandboxing- oder Virtualisierungstechnologien unterstützen, indem Anwendungen in einer isolierten Umgebung mit genau festgelegten Schnittstellen betrieben werden können. Tools zur Rechteanalyse (etwa zur Ermittlung der tatsächlich genutzten APIs und Dateizugriffe) können helfen, überflüssige Freigaben im Nachgang weiter einzuschränken." + } + ], + "controls": [ + { + "id": "KONF.6.1.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Datenkapselung", + "props": [ + { + "name": "alt-identifier", + "value": "6bb18861-0616-4cde-afed-7929b71ba16c" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.6.1.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Datenkapselung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Konfiguration für IT-Systeme KANN Datenkapselung aktivieren." + }, + { + "id": "KONF.6.1.1_gdn", + "name": "guidance", + "prose": "Bei der Datenkapselung, im Englischen als data encapsulation bekannt, handelt es sich um einen Schutzmechanismus, bei dem Daten logisch vor dem Zugriff des restlichen Systems verborgen werden. Hierdurch wird der direkte Zugriff unterbunden und ausschließlich über definierte, sichere Schnittstellen bereitgestellt. Zweck ist es, die Angriffsfläche auf sensible Daten zu verringern und deren Integrität sowie Vertraulichkeit zu wahren. Ohne eine solche Kapselung könnte beispielsweise eine Schadsoftware auf einem Server direkt auf Konfigurationsdateien oder im Arbeitsspeicher gehaltene Anmeldeinformationen anderer Anwendungen zugreifen und diese manipulieren oder ausleiten. Durch eine wirksame Datenkapselung kann die Institution sicherstellen, dass Zugriffe nur über vorab genehmigte und protokollierte Wege erfolgen, was eine unautorisierte Modifikation oder einen unbemerkten Abfluss von Daten erschwert. Technisch erfolgt dies zum Beispiel durch einen abgeschlossenen Speicherbereich auf einem mobilen Gerät für persönliche Informationen wie Kontakte oder Kalender (PIM-Container). Die Kapselung erfordert eine separate Authentisierung vor dem Zugriff auf die gekapstelten Daten und eine vom Betriebssystem unabhängige Daten- & Transportverschlüsselung innerhalb der Kapselung." + } + ] + }, + { + "id": "KONF.6.1.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Isolierung von Anwendungen", + "params": [ + { + "id": "konf.6.1.2-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "d380c6d8-1ab0-4e4b-bcca-2e620b40d934" + } + ], + "label": "bestimmten Anwendungen" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "d380c6d8-1ab0-4e4b-bcca-2e620b40d934" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.6.1.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Isolierung" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "von {{bestimmten Anwendungen}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Konfiguration für IT-Systeme KANN die Isolierung von {{ insert: param, konf.6.1.2-prm1 }} aktivieren." + }, + { + "id": "KONF.6.1.2_gdn", + "name": "guidance", + "prose": "Die Isolation von Anwendungen (auch Kapselung oder Application Sandboxing genannt) dient dazu, die Angriffsfläche eines Systems zu reduzieren und die Vertraulichkeit, Integrität sowie Verfügbarkeit kritischer Komponenten besser zu schützen. Durch eine klare Trennung der Anwendungs- und Systemprozesse und von deren Ressourcenzugriffen (Netzwerk, Datei‑ oder Geräte‑I/O) kann eine kompromittierte Applikation nicht unbegrenzt auf weitere Systemressourcen zugreifen, sondern ist auf genau definierte Schnittstellen beschränkt. Bestimmte Anwendungen meint hier, dass konkret festgelegt wird, welche Anwendungen konkret isoliert ausgeführt werden. Dies ermöglicht es, Fehlfunktionen oder Angriffe einzudämmen, Schadsoftware leichter zu erkennen und Verantwortlichkeiten einzelner Module transparent zu halten. Dies kann z.B. durch Containerisierung oder eine Microservice-Architektur, in der jede Komponente nur über REST- oder Message-Queue-Schnittstellen kommuniziert umgesetzt werden. Auch klassische Virtualisierung (Gastsysteme mit Hypervisor) oder Betriebssystemfunktionen wie SELinux/AppArmor‑Profile und chroot‑Jails zählen dazu, weil sie Applikationen auf genau festgelegte Ressourcen beschränken. Im Kontext der Containerisierung empfiehlt es sich ebenfalls eine feste Zuordnung von Containern zu Container-Hosts vorzunehmen." + } + ] + }, + { + "id": "KONF.6.1.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Isolierte Arbeitsumgebungen", + "props": [ + { + "name": "alt-identifier", + "value": "cfe748d3-22ff-4f2c-8bb0-d22338c67f45" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.6.1.3_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Endgeräte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Isolation verschiedener Arbeitsumgebungen für verschiedene Verwendungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Konfiguration für Endgeräte KANN die Isolation verschiedener Arbeitsumgebungen für verschiedene Verwendungen aktivieren." + }, + { + "id": "KONF.6.1.3_gdn", + "name": "guidance", + "prose": "Verschiedene Verwendungen sind z.B. die berufliche und private Nutzung, oder die Nutzung als IT-System mit erhöhtem Schutzbedarf und das Surfen im Internet. Arbeitsumgebungen sind getrennt, wenn die zu schützenden Daten ausschließlich in der geschützten Umgebung verbleiben. Beispielimplementierungen sind Apple® Configuration Profile oder Android™ Work Profile. Je nach Aufbau des Systems können hierzu z.B. Trennung auf Betriebssystemebene, netzbasierte Trennung, Virtualisierung oder Container eingesetzt werden." + } + ] + } + ] + }, + { + "id": "KONF.6.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Gemeinsam genutzte Verzeichnisse", + "props": [ + { + "name": "alt-identifier", + "value": "ec10cb70-9101-4293-ab4c-92d57f84af77" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.6.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Endgeräte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Zugriffsrechte gemeinsam verwendeter Verzeichnisse" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "einschränken" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für Endgeräte SOLLTE die Zugriffsrechte gemeinsam verwendeter Verzeichnisse einschränken." + }, + { + "id": "KONF.6.2_gdn", + "name": "guidance", + "prose": "Relevant sind hierbei sowohl speziell eingerichtete Verzeichnisse für die gemeinsame Bearbeitung von Dateien als auch Verzeichnisse, die vom System für gemeinsame Dateien verwendet werden, z.B. /tmp. Unter Linux kann das Sticky-Bit verwendet werden, um den Zugriff auf die Dateien in diesem Verzeichnis einzuschränken, so dass nur noch der Eigentümer einer Datei (oder der Eigentümer des Verzeichnisses) diese Datei löschen oder umbenennen darf." + } + ] + }, + { + "id": "KONF.6.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Kiosk-Modus", + "props": [ + { + "name": "alt-identifier", + "value": "1b90a130-be97-42bf-8d30-8458a1d743ee" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.6.3_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Endgeräte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "das automatische Zurücksetzen auf einen definierten Zustand" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "nach der Nutzung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Konfiguration für Endgeräte KANN das automatische Zurücksetzen auf einen definierten Zustand nach der Nutzung aktivieren." + }, + { + "id": "KONF.6.3_gdn", + "name": "guidance", + "prose": "Ein Kiosk‑Modus (auch als Gast-Zugang bezeichnet) kann dazu dienen, die Integrität und den definierten Ausgangszustand eines Systems dauerhaft sicherzustellen, indem nach jeder Sitzung oder in regelmäßigen Abständen ein vollständiger Rücksetzvorgang angestoßen wird. Damit soll verhindert werden, dass ungewollte Änderungen – etwa durch Malware, böswillige Manipulation oder versehentlich abgelegte Nutzerdaten – dauerhaft auf dem System verbleiben. Gleichzeitig kann so gewährleistet werden, dass jede neue Nutzer­session in einer standardisierten, getesteten Umgebung beginnt, was sowohl den Support‑Aufwand reduziert als auch Datenschutzaspekte stärkt, da keine personenbezogenen Daten auf dem Gerät zurückbleiben können. Typische Anwendungsfälle können öffentliche Terminals in Bibliotheken oder Behörden, digitale Informations­stelen in Museen und Einkaufszentren sowie Schulungs‑ oder Präsentationsrechner in Unternehmen sein. In solchen Szenarien kann das System beim Ausloggen oder nach einer festgelegten Zeit (z. B. nachts) automatisch auf ein sauberes Basis-Image zurückgesetzt werden. Denkbar ist auch ein Einsatz in Fabrikumgebungen, um Versuchs‑ und Prüfsysteme immer wieder in einen definierten Ausgangszustand zu bringen, oder in Testlaboren für Software, wo nach jedem Testlauf eine reine Umgebung erforderlich ist. Für die produktneutrale Umsetzung kann man beispielsweise mit Virtualisierungs­technologien arbeiten, die mittels Snapshot‑Rollback beim Neustart eine saubere VM‑Instanz bereitstellen. Alternativ kann ein Live‑Betriebssystem vollständig im Arbeitsspeicher laufen oder das Dateisystem über Overlay‑Techniken (z. B. OverlayFS, AUFS) nur virtuell überschrieben werden – alle Änderungen verwerfen sich beim Neustart automatisch. Auch der Einsatz von read‑only‑Partitionen kombiniert mit einem Schreibbereich in RAM kann eine einfache Lösung sein. Skript­basierte Cron‑Jobs oder Systemd‑Timer können den Rücksetz­prozess zu definierten Zeiten anstoßen. Externes Logging und Konfigurations­management (etwa über Ansible oder Puppet) kann dabei helfen, wichtige Ereignisse und Konfigurations­änderungen zu protokollieren, ohne den Kiosk‑Modus zu beeinträchtigen." + } + ] + }, + { + "id": "KONF.6.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Privilegierte Systemfunktionen", + "props": [ + { + "name": "alt-identifier", + "value": "f129ae20-1423-4df0-a735-db8365592cd1" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung, Living off the land" + } + ], + "parts": [ + { + "id": "KONF.6.4_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "privilegierte Funktionen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "einschränken" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für IT-Systeme SOLLTE privilegierte Funktionen einschränken." + }, + { + "id": "KONF.6.4_gdn", + "name": "guidance", + "prose": "Sind privilegierte Funktionen nicht eingeschränkt, so könnten Innentäter oder Angreifer über das Netz unbefugte Manipulationen vornehmen, Fehlkonfigurationen ausgelöst werden oder sich Schadcode automatisch einnisten. Privilegierte Funktionen können z.B. ein lokales Berechtigungsmanagement, die Installation von Anwendungen, der Schreibzugriff auf Systemverzeichnisse oder die Änderung der Systemkonfiguration sein." + } + ], + "controls": [ + { + "id": "KONF.6.4.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Rollenbasierte Privilegierung", + "props": [ + { + "name": "alt-identifier", + "value": "b20ab43c-96f3-4bc4-8a4c-1dca837bb41f" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.6.4.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "rollenbasiertes Berechtigungsmanagement" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Konfiguration für IT-Systeme KANN rollenbasiertes Berechtigungsmanagement aktivieren." + }, + { + "id": "KONF.6.4.1_gdn", + "name": "guidance", + "prose": "Rollenbasierte Administration schränkt die Berechtigungen administrativer Zugangskonten anhand von Rollen so ein, dass nur die jeweils erforderlichen Funktionen freigeschaltet sind. Dies kann z.B. mit Windows PowerShell Just Enough Administration (JEA) oder SELinux, AppArmor oder Sudoers umgesetzt werden." + } + ] + } + ] + }, + { + "id": "KONF.6.5", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Dynamische Zugriffskontrolle im System", + "props": [ + { + "name": "alt-identifier", + "value": "ced10fd0-a74e-4376-8dac-f3381c6a9482" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung, Zero Trust" + } + ], + "parts": [ + { + "id": "KONF.6.5_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "dynamische Zugriffskontrolle" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "im System" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Konfiguration für IT-Systeme KANN dynamische Zugriffskontrolle im System aktivieren." + }, + { + "id": "KONF.6.5_gdn", + "name": "guidance", + "prose": "Eine dynamische Zugriffskontrolle (engl. Dynamic Access Control, DAC) bezeichnet ein Verfahren, bei dem Zugriffsentscheidungen nicht ausschließlich auf statischen Berechtigungen (z. B. Benutzerrollen oder ACLs) beruhen, sondern zusätzlich kontextabhängige Bedingungen wie Gerätezustand, Sensitivität der Daten, Standort, Zeitfenster oder Sicherheitsklassifikation auswerten. Dabei bleibt die Policy, also die zugrundeliegende Regelmenge zur Zugriffsbewertung, fest definiert und nachvollziehbar dokumentiert – lediglich die Entscheidung über den konkreten Zugriff erfolgt dynamisch anhand dieser Bedingungen. Ziel ist eine feinere Steuerung des Datenzugriffs auf Basis aktueller Risikosituationen, ohne dass Administratoren Berechtigungen manuell anpassen müssen. Solche Mechanismen können etwa verhindern, dass ein Benutzer sensible Daten von einem nicht verwalteten Endgerät ausliest, während er im internen Netz regulär Zugriff hätte. Da DAC komplex sein kann ist es zweckmäßig, auch auf Funktionen zur Auditierung und Protokollierung der DAC zu achten." + } + ] + }, + { + "id": "KONF.6.6", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Getrennte Datenhaltung", + "props": [ + { + "name": "alt-identifier", + "value": "55e2c264-c09d-4967-83ab-f4430f898099" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.6.6_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Zugriffe eines Zugangskontos auf Daten anderer Zugangskonten" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "einschränken" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für Anwendungen SOLLTE Zugriffe eines Zugangskontos auf Daten anderer Zugangskonten einschränken." + }, + { + "id": "KONF.6.6_gdn", + "name": "guidance", + "prose": "Dies kann je nach Anwendung z.B. durch eine in der Anwendung integrierte Rollen- und Rechteverwaltung, Zugriffsrechte auf Dateisystemebene oder durch die Verwendung unterschiedlicher Systeme oder Netze pro Zugang realisiert werden." + } + ], + "controls": [ + { + "id": "KONF.6.6.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Mandantenfähigkeit", + "props": [ + { + "name": "alt-identifier", + "value": "2f0d27ba-6f8f-4f1e-9f5b-29cd79d7b08d" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.6.6.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "wenn die Anwendung mehrere Mandaten bedient, für jeden Mandanten eine eigene Berechtigungskonfiguration" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für Anwendungen SOLLTE wenn die Anwendung mehrere Mandaten bedient, für jeden Mandanten eine eigene Berechtigungskonfiguration aktivieren." + }, + { + "id": "KONF.6.6.1_gdn", + "name": "guidance", + "prose": "Der Ausdruck \"mehrere Mandanten\" (im Englischen auch multi-tenancy genannt) bezieht sich auf eine Softwarearchitektur, bei der eine einzige Instanz einer Anwendung gleichzeitig die Bedürfnisse mehrerer, voneinander unabhängiger Kundengruppen (Mandanten) bedient. Eine eigene Berechtigungskonfiguration bedeutet, dass jeder Mandant eine separate, von den anderen getrennte Sammlung von Zugriffsregeln und -rechten erhält. Dies dient dem Schutz vor Datenlecks, da ein Angreifer, der sich unrechtmäßig Zugang zu einem Mandanten verschafft, dadurch nicht automatisch die Berechtigungen für andere Mandanten übernimmt. Eine separate Konfiguration kann verhindern, dass ein Fehlverhalten oder eine Fehlkonfiguration bei einem Mandanten die Sicherheit aller anderen beeinträchtigt. Technische Möglichkeiten hierfür sind die Verwendung von mandantenspezifischen Datenbank-Schemata oder die logische Trennung von Daten innerhalb einer gemeinsamen Datenbank durch Mandanten-IDs. Darüber hinaus kann die Institution sicherstellen, dass die Authentifizierung und Autorisierung für jeden Mandanten streng getrennt sind, zum Beispiel durch die Nutzung unterschiedlicher API-Schlüssel oder Single-Sign-On-Konfigurationen pro Mandant." + } + ] + } + ] + }, + { + "id": "KONF.6.7", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Privilegierte Funktionen der Anwendung", + "props": [ + { + "name": "alt-identifier", + "value": "91968d63-7ef1-4625-a3a5-039c340577b1" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.6.7_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "privilegierte Funktionen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "einschränken" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für Anwendungen SOLLTE privilegierte Funktionen einschränken." + }, + { + "id": "KONF.6.7_gdn", + "name": "guidance", + "prose": "Sind privilegierte Funktionen nicht eingeschränkt, so könnten Innentäter oder Angreifer über das Netz unbefugte Manipulationen vornehmen, Fehlkonfigurationen ausgelöst werden oder sich Schadcode automatisch einnisten. Privilegierte Funktionen können z.B. ein Berechtigungsmanagement der Anwendung, der Zugriff auf Daten mehrerer Zugangskonten, das Hinzufügen oder Entfernen akzeptierter X.509-Zertifikate, ein Moderationsrecht oder die Änderung der Sicherheitskonfiguration der Anwendung sein." + } + ] + }, + { + "id": "KONF.6.8", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Berechtigungen des Webserver-Prozesses", + "props": [ + { + "name": "alt-identifier", + "value": "342916fa-e073-4db3-906c-af2563081e6e" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.6.8_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Webserver" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Berechtigungen des Webserver-Prozesses" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "einschränken" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für Webserver SOLLTE die Berechtigungen des Webserver-Prozesses einschränken." + }, + { + "id": "KONF.6.8_gdn", + "name": "guidance", + "prose": "Wird der laufende Prozess über das Web kompromittiert, so verhindert eine Einschränkung der Rechte eine weitere Ausbreitung des Angriffs. Relevant sind dabei Zugriffsrechte für Dateisystem und Systemfunktionen. Zweckmäßig ist es hierzu, die Berechtigungen so einzuschränken, dass der Serverdienst a) keinen Zugriff auf Dateien außerhalb des WWW-Wurzelverzeichnisses hat, b) Schreibzugriffe innerhalb des WWW‑Wurzelverzeichnisses nur in explizit autorisierten Unter­verzeichnissen hat, c) keine Programme oder Shell‑Befehle außerhalb der vorgesehenen Interpreter ausführen kann, d) keine privilegierten Berechtigungen besitzt. Unterverzeichnisse die Schreibrechte benötigen könnten sind etwa /uploads, /cache, /tmp." + } + ] + }, + { + "id": "KONF.6.9", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Zugriff auf Code", + "props": [ + { + "name": "alt-identifier", + "value": "c6624f60-f990-4900-84ef-747d5a6e81c6" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.6.9_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Webserver" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "den Zugriff auf Quelldateien" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "einschränken" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für Webserver SOLLTE den Zugriff auf Quelldateien einschränken." + }, + { + "id": "KONF.6.9_gdn", + "name": "guidance", + "prose": "Quelldateien sind in diesem Zusammenhang alle Dateien, die zur Funktionsweise einer Webanwendung benötigt werden, deren Auslieferung an den Browser von Nutzenden aber nicht erforderlich ist. Dazu gehören Programmier- oder Skriptcode, Konfigurationsdateien, Datenbankverbindungen und sensible Daten wie APIs oder Anmeldeinformationen. Das Verhindern des direkten Zugriffs auf diese Dateien dient der Prävention von Informationslecks und der Minderung des Risikos unautorisierter Offenlegung. Eine nicht restriktive Konfiguration könnte beispielsweise die Offenlegung von Code-Teilen, die Logik der Anwendung oder sogar hartkodierten Passwörtern ermöglichen, was zu einer weitreichenden Kompromittierung des Systems führen könnte. Die Umsetzung kann durch platzieren dieser Dateien außerhalb des WWW-Wurzelverzeichnisses erfolgen. Weiterhin kann der Zugriff auf bestimmte Dateitypen wie .php, .ini, .env oder .sql mittels Webserver-Regeln (z.B. in .htaccess für Apache oder location-Blöcke in Nginx) explizit verweigert werden, wodurch auch versehentlich im öffentlichen Verzeichnis abgelegte Quelldateien geschützt sind. Bei der Wahl eines Content-Management-Systems oder Frameworks kann eine sichere Standardkonfiguration die Umsetzung erleichtern. Zusätzlich können serverseitige Skripte so konfiguriert werden, dass sie nur aus vordefinierten, sicheren Verzeichnissen ausgeführt werden dürfen, was als Secure Execution Path bekannt ist." + } + ] + }, + { + "id": "KONF.6.10", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Auflistung von Verzeichnisinhalten", + "props": [ + { + "name": "alt-identifier", + "value": "ce8d6ad1-d414-48a3-b273-50fa01fd2ee6" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung, Data Leak" + } + ], + "parts": [ + { + "id": "KONF.6.10_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Webserver" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Auflistung von Verzeichnisinhalten" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "einschränken" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für Webserver SOLLTE die Auflistung von Verzeichnisinhalten einschränken." + }, + { + "id": "KONF.6.10_gdn", + "name": "guidance", + "prose": "Über das Auflisten von Verzeichnisinhalten erhalten Angreifer Einblick in die interne Struktur des Systems und potenziell sensibler Daten. Zur Umsetzung kann in der Konfiguration des Webservers (z.B. Apache, Nginx) die Directory-Listing-Funktion deaktiviert werden. Alternativ kann über Dateien wie .htaccess der Zugriff auf die notwendigen Verzeichnisse eingeschränkt werden." + } + ] + }, + { + "id": "KONF.6.11", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Einschränkung von Uploads", + "props": [ + { + "name": "alt-identifier", + "value": "80201ed2-a627-4240-86c1-0d91415f96b5" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.6.11_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Webserver" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Uploads" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "einschränken" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für Webserver SOLLTE Uploads einschränken." + }, + { + "id": "KONF.6.11_gdn", + "name": "guidance", + "prose": "Uploads sind Dateien, die von Nutzenden auf den Server übertragen werden. Diese könnten Schadprogramme enthalten oder den Speicher füllen. Sinnvolle Beschränkungen sind z.B. der Upload nur nach Anmeldung, eine maximale Dateigröße, erlaubte Dateitypen und deren Speicherorte." + } + ] + }, + { + "id": "KONF.6.12", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Konferenzmoderation", + "props": [ + { + "name": "alt-identifier", + "value": "862961f1-924d-4557-9f81-e31730162561" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.6.12_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "VK-Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Konferenzmoderation" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für VK-Anwendungen SOLLTE Konferenzmoderation aktivieren." + }, + { + "id": "KONF.6.12_gdn", + "name": "guidance", + "prose": "Bei Konferenzen kann es vorkommen, dass ungewollt Teilnehmende zu hören sind. Dies kann versehentlich geschehen oder im Rahmen eines Angriffes." + } + ] + }, + { + "id": "KONF.6.13", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Dynamische Zugriffskontrolle in der Anwendung", + "props": [ + { + "name": "alt-identifier", + "value": "55dfbf64-f1f3-4765-a0d3-78f0a1f00654" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.6.13_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "dynamische Zugriffskontrolle" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "in der Anwendung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Konfiguration für Anwendungen KANN dynamische Zugriffskontrolle in der Anwendung aktivieren." + }, + { + "id": "KONF.6.13_gdn", + "name": "guidance", + "prose": "Dynamische Zugriffskontrolle („dynamic access control“, DAC) bezeichnet hier eine Form der Autorisierungsprüfung innerhalb einer Anwendung, bei der die Entscheidung über den Zugriff nicht ausschließlich anhand statischer Rollen oder Benutzergruppen erfolgt, sondern zusätzlich kontextabhängige Bedingungen („contextual attributes“) berücksichtigt werden. Solche Bedingungen können beispielsweise der aktuelle Standort der Anmeldung, die Geräteklasse, der Zeitpunkt des Zugriffs oder die Sensitivität der angeforderten Daten sein. Die zugrunde liegende Zugriffsrichtlinie („policy“) bleibt dabei fest definiert – die Dynamik betrifft ausschließlich die Bewertung der in ihr vorgesehenen Parameter. Dadurch unterscheidet sich DAC auf Anwendungsebene von klassischen „role-based access control“ (RBAC)-Mechanismen, indem sie feinere, situative Entscheidungen erlaubt, ohne dass Berechtigungen für den Einzelfall manuell vergeben werden. Die Möglichkeit, eine dynamische Zugriffskontrolle in der Anwendung zu aktivieren, kann wesentlich dazu beitragen, unbefugte oder unangemessene Zugriffe zu verhindern, wenn sich Sicherheitsbedingungen ändern. Ohne solche Mechanismen könnte ein Benutzer etwa trotz eines kompromittierten Geräts oder außerhalb sicherer Netzbereiche weiterhin auf vertrauliche Daten zugreifen, was zu Datenabfluss oder Manipulation führen könnte. Die dynamische Kontrolle kann hingegen sicherstellen, dass Zugriffe nur gewährt werden, wenn aktuelle Kontextparameter mit den definierten Sicherheitsrichtlinien übereinstimmen, wodurch das Risiko situativer Angriffe deutlich reduziert werden kann. Beispiele sind Anwendungen (1) eine Policy-Engine wie XACML-kompatible Systeme zur regelbasierten Entscheidungsfindung verwenden, (2) Attributquellen wie Identity Provider oder Endpoint-Sicherheitslösungen zur Kontextbewertung einbinden oder (3) adaptive Autorisierungsmechanismen, etwa über Open Policy Agent." + } + ] + }, + { + "id": "KONF.6.14", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Browser Sandboxing", + "props": [ + { + "name": "alt-identifier", + "value": "9b157336-4f35-43f5-90e2-704c00d452e5" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.6.14_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Webbrowser" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Browser Sandboxing" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für Webbrowser SOLLTE Browser Sandboxing aktivieren." + }, + { + "id": "KONF.6.14_gdn", + "name": "guidance", + "prose": "Sandboxing bedeutet, dass jede Instanz und jeder Verarbeitungsprozess nur auf die eigenen Ressourcen zugreifen kann. Die Isolation kann durch eigene Threads oder eigene Prozesse realisiert sein." + } + ] + }, + { + "id": "KONF.6.15", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Virtualisierte Browser-Umgebung", + "props": [ + { + "name": "alt-identifier", + "value": "2717f887-571c-4830-a5de-a87c44bbca23" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.6.15_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Webbrowser" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Virtualisierte Browser-Umgebung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Konfiguration für Webbrowser KANN Virtualisierte Browser-Umgebung aktivieren." + }, + { + "id": "KONF.6.15_gdn", + "name": "guidance", + "prose": "Eine Browser-Umgebung ist virtualisiert, wenn der Code des Browser nicht im Betriebssystem des Clients, sondern in einem dediziert hierzu virtualisierten Betriebssystem ausgeführt wird, z.B. ReCoBS." + } + ] + }, + { + "id": "KONF.6.16", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Datenaustausch in der Virtualisierung", + "props": [ + { + "name": "alt-identifier", + "value": "55db7b45-c04c-42c6-b803-eacd27aee6c7" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.6.16_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Virtualisierungslösungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "den Datenaustausch zwischen virtualisierten Client" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "einschränken" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Konfiguration für Virtualisierungslösungen KANN den Datenaustausch zwischen virtualisierten Client einschränken." + }, + { + "id": "KONF.6.16_gdn", + "name": "guidance", + "prose": "Der Datenaustausch zwischen virtualisierten Anwendungen umfasst jegliche direkte oder indirekte Kommunikationswege wie virtuelle Netzwerke, geteilte Speicherbereiche oder Copy-and-Paste-Funktionen über die Virtualisierungsplattform. Der Sinn dieser Anforderung liegt darin, unbeabsichtigte oder böswillige Datenübertragungen zwischen isolierten Anwendungen einzuschränken. Ohne diese Einschränkungen könnte Schadsoftware von einer kompromittierten VM unbemerkt auf eine andere übergreifen oder sensible Informationen könnten durch Fehlkonfigurationen ungewollt in eine fremde VM gelangen. Eine klare Abgrenzung kann hingegen sicherstellen, dass selbst bei Kompromittierung einer Anwendung deren Wirkungskreis begrenzt bleibt und Vertraulichkeit, Integrität sowie Stabilität anderer Anwendungen erhalten bleiben. Die praktische Umsetzung kann durch mehrere Maßnahmen erfolgen, die sich technisch wie prozessual ergänzen. So kann eine Institution (1) virtuelle Netzwerke segmentieren, sodass VMs nur über explizit eingerichtete Firewalls miteinander kommunizieren können, (2) gemeinsame Speicherbereiche oder Zwischenablagen deaktivieren, sofern diese nicht zwingend benötigt werden, und (3) die Nutzung von Schnittstellen wie USB-Passthrough oder Drag-and-Drop bewusst unterbinden oder nur für klar definierte Administrations-VMs freigeben. Darüber hinaus kann es sinnvoll sein, die Konfiguration regelmäßig mit Härtungsleitfäden abzugleichen. Ein pragmatischer Tipp ist es, beim Aufsetzen neuer VMs die Standardkonfigurationen bewusst restriktiv zu wählen und nur jene Austauschfunktionen schrittweise zu aktivieren, die für den Geschäftsbetrieb wirklich erforderlich sind." + } + ] + } + ] + }, + { + "id": "KONF.7", + "title": "Schutz vor Schadcode", + "props": [ + { + "name": "label", + "value": "7" + }, + { + "name": "alt-identifier", + "value": "cf654423-ecec-43a5-98aa-b1af0a023e17" + } + ], + "controls": [ + { + "id": "KONF.7.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Echtzeitscanner", + "props": [ + { + "name": "alt-identifier", + "value": "7356791e-0f8c-4f3a-82f9-37f55a2d66b2" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "links": [ + { + "href": "#DET.4.2", + "rel": "related" + } + ], + "parts": [ + { + "id": "KONF.7.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine automatische Prüfung auf Schadcode" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "bei Installation oder Öffnung von Dateien" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für IT-Systeme SOLLTE eine automatische Prüfung auf Schadcode bei Installation oder Öffnung von Dateien aktivieren." + }, + { + "id": "KONF.7.1_gdn", + "name": "guidance", + "prose": "Schadcode kann sich sowohl auf lokalen Speichermedien, als auch auf Netzlaufwerken oder Wechseldatenträgern befinden. Für Netzlaufwerke kann die Anforderung auch umgesetzt werden, indem Dateien bei der Speicherung auf dem zentralen System auf Schadcode geprüft werden. Die Anwendung zur Schadcodeprüfung kann z.B. auch als EDR, XDR oder IDS bezeichnet werden. Moderne Systeme zur Erkennung von Schadcode verwenden eine Kombination aus Virensignaturen, Heuristiken, als auch Anomalieerkennung. Falls das System die Installation von Anwendungen nicht unterstützt, so ist dieser Teilschritt entbehrlich." + } + ] + }, + { + "id": "KONF.7.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Regelmäßige Scans", + "props": [ + { + "name": "alt-identifier", + "value": "3fefd9d3-8925-4c08-b2b3-c92775b0279a" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung, Lateral Movement" + } + ], + "links": [ + { + "href": "#DET.4.2", + "rel": "related" + } + ], + "parts": [ + { + "id": "KONF.7.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "einen regelmäßigen Scan von Dateien auf dem System nach potenziellem Schadcode" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für IT-Systeme SOLLTE einen regelmäßigen Scan von Dateien auf dem System nach potenziellem Schadcode aktivieren." + }, + { + "id": "KONF.7.2_gdn", + "name": "guidance", + "prose": "Schadcode kann sich sowohl auf lokalen Speichermedien, als auch auf Netzlaufwerken oder Wechseldatenträgern befinden. Für Netzlaufwerke kann die Anforderung auch umgesetzt werden, indem Dateien bei der Speicherung auf dem zentralen System auf Schadcode geprüft werden. Die Anwendung zur Schadcodeprüfung kann z.B. auch als EDR, XDR oder IDS bezeichnet werden. Moderne Systeme zur Erkennung von Schadcode verwenden eine Kombination aus Virensignaturen, Heuristiken, als auch Anomalieerkennung. Falls das System die Installation von Anwendungen nicht unterstützt, so ist dieser Teilschritt entbehrlich." + } + ] + }, + { + "id": "KONF.7.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Host-basierte Angriffserkennung", + "props": [ + { + "name": "alt-identifier", + "value": "c6ea1218-1fc7-472f-96e5-df42b2acafa9" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung, Lateral Movement" + } + ], + "links": [ + { + "href": "#DET.4.2", + "rel": "related" + } + ], + "parts": [ + { + "id": "KONF.7.3_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Host-basierte Angriffserkennung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für IT-Systeme SOLLTE Host-basierte Angriffserkennung aktivieren." + }, + { + "id": "KONF.7.3_gdn", + "name": "guidance", + "prose": "Host-basierte Angriffserkennung, im Englischen auch als Host-based Intrusion Detection (HID) oder Host-based Intrusion Prevention (HIP) bezeichnet, bezieht sich auf Mechanismen, die auf den einzelnen IT-Systemen, wie Servern oder Workstations, selbst operieren, um böswillige Aktivitäten zu erkennen und zu verhindern. Im Gegensatz zu netzwerkbasierten Systemen, die den Datenverkehr überwachen, fokussiert sich die Host-basierte Erkennung auf interne Systemereignisse, wie die Integrität von Dateisystemen, Änderungen an kritischen Konfigurationsdateien, oder die Erkennung von unbekannten Prozessen. Der Hauptzweck dieser Anforderung besteht darin, eine zusätzliche Sicherheitsebene zu schaffen, die direkt am Endpunkt (Host) agiert, was die Erkennung von Angriffen ermöglicht, die bereits die äußeren Schutzmechanismen überwunden haben könnten, beispielsweise wenn ein Angreifer eine bekannte Schwachstelle ausnutzt, um einen Prozess mit erhöhten Rechten auszuführen. Diese Maßnahmen können dabei helfen, interne Lateralbewegungen eines Angreifers zu erkennen und somit die Ausbreitung eines Vorfalls zu verlangsamen oder zu stoppen, bevor es zu einem größeren Schaden kommt." + } + ] + }, + { + "id": "KONF.7.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Angriffserkennung anhand von Netzverkehr", + "props": [ + { + "name": "alt-identifier", + "value": "e6dd6f93-4901-41bd-86ed-ba88ff5c5bf3" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "links": [ + { + "href": "#DET.4.2", + "rel": "related" + } + ], + "parts": [ + { + "id": "KONF.7.4_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Angriffserkennung anhand von Netzverkehr" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Konfiguration für IT-Systeme KANN Angriffserkennung anhand von Netzverkehr aktivieren." + }, + { + "id": "KONF.7.4_gdn", + "name": "guidance", + "prose": "Hierbei wird eine netzwerkbasierte Bedrohungsanalyse direkt auf dem IT-System durchgeführt. Dieser Ansatz, oft als Host-based Network Intrusion Detection System (H-NIDS) oder Endpoint Detection and Response (EDR) bezeichnet, ermöglicht eine tiefere Sicht in das Systemverhalten. Statt nur den Datenstrom am Perimeter zu überwachen, kann so die Institution verdächtige Aktivitäten wie das Scannen von Netzwerk-Ports, den Aufbau ungewöhnlicher Verbindungen zu Command-and-Control-Servern oder den Versuch der Datenexfiltration erkennen. Ohne diese Erkennung könnte sich ein Angreifer, der bereits in das Netzwerk eingedrungen ist, unentdeckt von System zu System bewegen oder sensible Daten unbemerkt nach außen senden. Die dezentrale Erkennung auf den Clients kann zudem dabei helfen, interne Lateral-Movement-Versuche zu identifizieren, da der Datenverkehr zwischen den Systemen überwacht wird, selbst wenn er das interne Netzwerk nicht verlässt. Um diese Anforderung umzusetzen, kann die Institution spezialisierte EDR- oder Endpoint-Security-Lösungen nutzen, die eine integrierte Funktion zur Netzwerküberwachung bieten. Es kann ebenfalls eine regelbasierte Erkennung über lokale Host-Firewalls oder Sicherheitsagenten aktiviert werden, die bestimmte Muster im Netzwerkverkehr blockieren oder protokollieren. Bei der Einführung solcher Maßnahmen ist es entscheidend, die Performance des Clients zu berücksichtigen. Daher kann die Konfiguration so optimiert werden, dass sie nur kritische Protokolle oder Ports überwacht, um die Systemressourcen zu schonen." + } + ] + }, + { + "id": "KONF.7.5", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Alarmierung", + "props": [ + { + "name": "alt-identifier", + "value": "a0afaca3-947c-4b5b-8bc0-c29f623075e0" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "links": [ + { + "href": "#DET.4.2", + "rel": "related" + } + ], + "parts": [ + { + "id": "KONF.7.5_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine Benachrichtigung bei potenziellem Schadcode" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für IT-Systeme SOLLTE eine Benachrichtigung bei potenziellem Schadcode aktivieren." + }, + { + "id": "KONF.7.5_gdn", + "name": "guidance", + "prose": "Durch die Aktivierung einer Benachrichtigung kann eine Institution schnell auf verdächtige Aktivitäten reagieren, noch bevor sich der Schadcode vollständig im System etablieren und erheblichen Schaden anrichten könnte. Eine Möglichkeit zur Umsetzung ist der Einsatz von Endpoint Detection and Response (EDR)-Lösungen, die in der Lage sind, Verhaltensanomalien in Echtzeit zu erkennen und sofortige Benachrichtigungen auszulösen. Eine effektive Umsetzung erfordert, dass die Benachrichtigungen sowohl an die Endnutzer als auch an die zuständigen IT-Sicherheitsteams gesendet werden, um eine umfassende und koordinierte Reaktion zu ermöglichen. Dabei können Automatisierungsregeln im Security Information and Event Management (SIEM) die Benachrichtigungen an die richtigen Personen eskalieren und so die Reaktionszeit verkürzen." + } + ] + }, + { + "id": "KONF.7.6", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Automatische Updates", + "props": [ + { + "name": "alt-identifier", + "value": "9ec7a448-9f0e-45bb-b71d-537fe2ef7f0c" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.7.6_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Automatische Updates der Mechanismen zur Schadcodeerkennung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für IT-Systeme SOLLTE Automatische Updates der Mechanismen zur Schadcodeerkennung aktivieren." + }, + { + "id": "KONF.7.6_gdn", + "name": "guidance", + "prose": "Da Schadprogramme und Angriffsmethoden ständig abgeändert werden um bekannte Erkennungsmuster zu umgehen, sind aktuelle Erkennungsfunktionen entscheidend um laufende Angriffe erkennen zu können, z.B. Signatur-Update oder Aktualisierungen der Lernfunktion zur Anomalieerkennung. Dies kann durch automatische Aktualisierungen der Signaturen und Mechanismen zur Angriffserkennung umgesetzt werden, z.B. als tagesaktueller Download von Viren-Signaturen. Die Anforderung kann auch durch einen schrittweisen Rollout der Erkennungsfunktionen umgesetzt werden, um einen Test in der Institution zu ermöglichen." + } + ] + }, + { + "id": "KONF.7.7", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Regelmäßiger Funktionstest", + "params": [ + { + "id": "konf.7.7-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "3cc8cb7f-eeb1-4d12-a87b-3081587e4b93" + } + ], + "label": "regelmäßig" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "3cc8cb7f-eeb1-4d12-a87b-3081587e4b93" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "links": [ + { + "href": "#DET.4.3", + "rel": "related" + } + ], + "parts": [ + { + "id": "KONF.7.7_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Funktionsfähigkeit des Schadcodeschutzes" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{regelmäßig}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überprüfen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Konfiguration für IT-Systeme KANN die Funktionsfähigkeit des Schadcodeschutzes {{ insert: param, konf.7.7-prm1 }} überprüfen." + }, + { + "id": "KONF.7.7_gdn", + "name": "guidance", + "prose": "Die Funktionsfähigkeit des Schadcodeschutzes beschreibt den operativen Zustand der eingesetzten Schutzmechanismen (engl. Malware Protection, oft auch Antivirus oder Endpoint Detection and Response, kurz EDR), der über die reine Installation der Software hinausgeht. Sie umfasst die korrekte Ausführung der Schutzdienste, die Aktualität der Erkennungssignaturen und Verhaltensregeln sowie die Fähigkeit, auf Bedrohungen aktiv zu reagieren und diese zu protokollieren. Eine regelmäßige Überprüfung dieser Funktionsfähigkeit kann die Institution vor unbemerkten Sicherheitslücken schützen. Ein deaktivierter oder fehlerhafter Schutzmechanismus könnte beispielsweise dazu führen, dass Ransomware unbemerkt Daten verschlüsselt oder ein Trojaner Anmeldeinformationen abgreift, obwohl eine Schutzsoftware installiert ist. Durch die proaktive Verifikation kann hingegen sichergestellt werden, dass diese wesentliche Verteidigungslinie durchgehend intakt ist und auf Angriffsversuche reagieren kann. Zur konkreten Umsetzung kann die Institution auf verschiedene, sich ergänzende Maßnahmen zurückgreifen. Eine zentrale Verwaltungskonsole der eingesetzten Schutzlösung kann genutzt werden, um den Status aller angebundenen Systeme automatisiert zu überwachen und Alarme auszulösen, wenn Systeme sich nicht mehr melden, veraltete Signaturen aufweisen oder Dienste beendet wurden. Ergänzend kann die tatsächliche Erkennungsleistung proaktiv durch den Einsatz einer standardisierten Testdatei wie dem EICAR-Teststring verifiziert werden; dieser kann automatisiert auf den Systemen platziert werden, um zu prüfen, ob der Schadcodeschutz wie erwartet anschlägt und eine Meldung generiert. Auf Systemen ohne zentrale Anbindung kann die Funktionsfähigkeit mittels Skripten überprüft werden, die lokal den Dienststatus und das Alter der Signaturdateien auslesen und in einer überwachten Logdatei dokumentieren." + } + ] + }, + { + "id": "KONF.7.8", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Dual-Engine-Strategie", + "props": [ + { + "name": "alt-identifier", + "value": "a86b7cf5-33c8-40b5-81cd-db942cc27b74" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.7.8_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "für die Erkennung von Schadcode unterschiedliche Scan-Engines" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Konfiguration für IT-Systeme KANN für die Erkennung von Schadcode unterschiedliche Scan-Engines aktivieren." + }, + { + "id": "KONF.7.8_gdn", + "name": "guidance", + "prose": "Hiermit ist gemeint, dass die Angriffserkennung mittels (zwei oder mehr) verschiedenen Scan-Engines durchgeführt wird, um die Erkennungswahrscheinlichkeit zu erhöhen. Hierdurch kann es zu Performanceeinbußen oder einer höheren Fehlerkennungquote kommen." + } + ] + }, + { + "id": "KONF.7.9", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Einschränkung der Installation", + "props": [ + { + "name": "alt-identifier", + "value": "6bb8fed8-6745-4b58-81cb-ddff66da28d9" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.7.9_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Installation von Anwendungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "einschränken" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für IT-Systeme SOLLTE die Installation von Anwendungen einschränken." + }, + { + "id": "KONF.7.9_gdn", + "name": "guidance", + "prose": "Es empfiehlt sich z.B. die zu installierende Software nicht unkontrolliert in das Wurzeldateisystem des Betriebssystems zu installieren. Wenn die zu installierende Software aus dem Quellcode kompiliert werden soll, dann empfiehlt es sich diese nur unter einem unprivilegierten Konto zu entpacken, zu konfigurieren und zu übersetzen." + } + ] + }, + { + "id": "KONF.7.10", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Einschränkung der Ausführung", + "props": [ + { + "name": "alt-identifier", + "value": "02df7412-74de-45a2-abfd-aa8cf94ff93d" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung, Living off the land" + } + ], + "parts": [ + { + "id": "KONF.7.10_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Ausführung nicht autorisierter Anwendungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "einschränken" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für IT-Systeme SOLLTE die Ausführung nicht autorisierter Anwendungen einschränken." + }, + { + "id": "KONF.7.10_gdn", + "name": "guidance", + "prose": "Wenn Anwendungen an beliebigen Speicherorten installiert und ausgeführt werden, z.B. im Wurzeldateisystem des Betriebssystems oder an Speicherorten zusammen mit Daten der Nutzerumgebung, dann könnte dies zahlreiche Sicherheitsrisiken mit sich bringen. Unbefugte oder schadhafte Anwendungen könnten unbemerkt an unautorisierte Orte platziert werden, wo sie außerhalb etablierter Sicherheitskontrollen agieren und beispielsweise Privilege-Escalation-Angriffe durchführen können. Zudem wird das Risiko der Manipulation von Anwendungsdateien erhöht, da Angreifer gezielt nach nicht-geschützten Speicherorten suchen, um dort eigenen Code zu hinterlegen oder legitime Anwendungen zu modifizieren. Eine solche Situation kann zu \"Living-off-the-Land\"-Angriffen führen, bei denen Angreifer vorhandene legitime Programme missbrauchen, um Schadaktionen auszuführen, was die Erkennung erheblich erschwert. Die Beschränkung von Ausführungsspeicherorten (Execution Control) zielt darauf ab, die Angriffsfläche zu reduzieren und eine bessere Kontrolle über ausführbare Programme zu ermöglichen. Zur technischen Umsetzung dieser Anforderung kann eine Institution verschiedene Maßnahmen implementieren. Application Allowlisting kann eingesetzt werden, um nur vertrauenswürdige Anwendungen aus definierten Verzeichnissen auszuführen, beispielsweise mittels AppLocker unter Windows oder SELinux unter Linux-Systemen. Zusätzlich können Software Restriction Policies (SRPs) konfiguriert werden, um Ausführungsrechte auf bestimmte Verzeichnispfade zu begrenzen, wobei eine Trennung zwischen Systemverzeichnissen und Nutzerverzeichnissen empfehlenswert ist. Weitere wirksame Techniken umfassen die Implementierung von Code Signing, wodurch nur digital signierte Anwendungen ausgeführt werden können, sowie die Nutzung von Container-Technologien wie Docker, die eine isolierte Ausführungsumgebung bieten. Dabei kann auf das Inventar der Anwendungen als Grundlage zurückgegriffen werden." + } + ] + }, + { + "id": "KONF.7.11", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Einschränkung von Softwarebibliotheken", + "props": [ + { + "name": "alt-identifier", + "value": "8de44b0e-0241-4519-9dc3-e941800b4168" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung, Lieferketten" + } + ], + "parts": [ + { + "id": "KONF.7.11_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Ausführung nicht autorisierter Softwarebibliotheken" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "einschränken" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Konfiguration für IT-Systeme KANN die Ausführung nicht autorisierter Softwarebibliotheken einschränken." + }, + { + "id": "KONF.7.11_gdn", + "name": "guidance", + "prose": "Softwarebibliotheken sind wiederverwendbare Codesammlungen, die Entwicklern fertige Funktionalitäten bieten, ohne diese selbst programmieren zu müssen. Unautorisierte Bibliotheken stellen Sicherheitsrisiken dar, weil sie absichtlich eingeschleusten Schadcode enthalten könnten, der Daten ausspioniert oder Systeme kompromittiert. Sie durchlaufen seltener reguläre Sicherheitsüberprüfungen und könnten für Supply-Chain-Angriffe genutzt werden, bei denen harmlos erscheinender Code mit versteckten Schadfunktionen in Paketmanager eingeschleust wird. Zudem erhalten unautorisierte Bibliotheken häufig keine regelmäßigen Sicherheitsupdates, sodass bekannte Schwachstellen unbehoben bleiben. Mangelnde Dokumentation und unklare Abhängigkeiten von anderen ungeprüften Quellen erhöhen das Risiko zusätzlich. Beispiele sind Dateien der Typen .dll, .ocx, und .so. Die Umsetzung kann durch Sicherheitsfunktionen erfolgen, die nur das Laden autorisierter Bibliotheken in Systemprozessen erlaubt. Verfügt das IT-System über keine Möglichkeit zur Installation von Anwendungen, so ist die Anforderung entbehrlich." + } + ] + }, + { + "id": "KONF.7.12", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Einschränkung von Skripten", + "props": [ + { + "name": "alt-identifier", + "value": "f835dc6a-5af1-424d-994a-219141d268d7" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.7.12_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Ausführung nicht autorisierter Skripte" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "einschränken" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Konfiguration für IT-Systeme KANN die Ausführung nicht autorisierter Skripte einschränken." + }, + { + "id": "KONF.7.12_gdn", + "name": "guidance", + "prose": "Skripte könnten Schadcode enthalten oder zu Fehlerzuständen auf dem System führen. Die Auswirkungen schädlicher Skripte können eingeschränkt werden, indem nur bestimmte Systemfunktionen für Skripte erlaubt werden. Die Umsetzung ist mit Funktionen wie dem Windows PowerShell Constrained Language Mode oder Linux Secure Computing Mode möglich. Verfügt das System über keine Möglichkeit zur Ausführung von Skripten, so ist die Anforderung entbehrlich." + } + ] + }, + { + "id": "KONF.7.13", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Einschränkung von Systemaufrufen", + "props": [ + { + "name": "alt-identifier", + "value": "0d1bb274-a8e2-4fdb-a94e-25dd0565fab1" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.7.13_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Systemaufrufe" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "pro Anwendung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "einschränken" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Konfiguration für IT-Systeme KANN Systemaufrufe pro Anwendung einschränken." + }, + { + "id": "KONF.7.13_gdn", + "name": "guidance", + "prose": "Ein Systemaufruf (engl. system call) ist dabei die Methode, mit der eine Anwendung Zugriff auf die Ressourcen des Betriebssystems anfordert, z.B. um eine Datei zu öffnen, in das Netzwerk zu kommunizieren oder einen neuen Prozess zu starten. Diese feingranulare Einschränkung wird in der Branche auch als Capability-based Security oder Seccomp (Secure Computing Mode) bezeichnet. Der Zweck dieser Vorschrift ist die gezielte Reduzierung der Angriffsfläche, indem selbst eine vertrauenswürdige, aber kompromittierte Anwendung daran gehindert wird, schädliche Aktionen auszuführen. Ein Angreifer könnte beispielsweise die Prozess-ID (PID) einer Anwendung kapern und versuchen, über deren Kontext privilegierte Systemaufrufe durchzuführen, um sich im Netzwerk auszubreiten oder sensible Daten zu löschen. Die Einschränkung dieser Aufrufe kann die Folgen eines erfolgreichen Angriffs erheblich mildern und so die Ausbreitung von Malware oder die Manipulation von Systemprozessen verhindern." + } + ] + }, + { + "id": "KONF.7.14", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Code-Signierung im Betriebssystemkern", + "props": [ + { + "name": "alt-identifier", + "value": "276b2d5d-5317-4cc6-b106-c65c764da6f6" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.7.14_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Code-Signierung im Betriebssystemkern" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für IT-Systeme SOLLTE Code-Signierung im Betriebssystemkern aktivieren." + }, + { + "id": "KONF.7.14_gdn", + "name": "guidance", + "prose": "Laufende Kernprozesse des Systems können geschützt werden, indem nur signierter Code hierauf zugreifen darf. Beispiele sind unter Windows der der PPL-Schutz (Protected Process Light) des Local Credential Store (LSA-Schutz) oder unter Linux mit SELinux oder dem Secure Computing Mode." + } + ] + }, + { + "id": "KONF.7.15", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Lokale Firewall", + "props": [ + { + "name": "alt-identifier", + "value": "73cfb678-122c-4bca-a8b0-70673e70d285" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.7.15_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "ein- und ausgehende Netzverbindungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "einschränken" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für IT-Systeme SOLLTE ein- und ausgehende Netzverbindungen einschränken." + }, + { + "id": "KONF.7.15_gdn", + "name": "guidance", + "prose": "Eine lokale Firewall ist eine Anwendung, welche nur die zum Betrieb und zur Wartung des IT-Systems notwendigen ein- und ausgehenden Verbindungen zulässt. Bringt das Betriebssystem diese Funktionalität bereits vom Werkszustand her mit, so ist die Anforderung ebenfalls erfüllt, wenn sie entsprechend konfiguriert ist. Zweckmäßig ist hierbei ein Allowlist-Ansatz, der die gewünschte Verbindung möglichst genau beschreibt (z.B. anhand Server-IP und Port)." + } + ] + }, + { + "id": "KONF.7.16", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Anti-Exploit", + "props": [ + { + "name": "alt-identifier", + "value": "6056a588-6f3c-402e-a0ac-f1f169030659" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.7.16_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Systemfunktionen zum Schutz des Systems vor der Ausnutzung bekannter Sicherheitslücken" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für IT-Systeme SOLLTE Systemfunktionen zum Schutz des Systems vor der Ausnutzung bekannter Sicherheitslücken aktivieren." + }, + { + "id": "KONF.7.16_gdn", + "name": "guidance", + "prose": "Angreifer versuchen häufig, bekannte Sicherheitslücken oder offene Systemfunktionen zur Verbreitung oder Einnistung von Schadcode zu missbrauchen. Funktionen zum Schutz vor der Ausnutzung von Sicherheitslücken (Anti-Exploit) können helfen dies zu verhindern. Beispiele sind Data Execution Prevention (DEP), Defender Exploit Guard (WDEG) oder System Integrity Protection (SIP)." + } + ], + "controls": [ + { + "id": "KONF.7.16.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Anti-Exploit für den Arbeitsspeicher", + "props": [ + { + "name": "alt-identifier", + "value": "1ce9e25d-e51a-453a-8383-ecdbac044b7a" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.7.16.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "den Schutz des Arbeitsspeichers vor der Ausnutzung bekannter Sicherheitslücken" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für IT-Systeme SOLLTE den Schutz des Arbeitsspeichers vor der Ausnutzung bekannter Sicherheitslücken aktivieren." + }, + { + "id": "KONF.7.16.1_gdn", + "name": "guidance", + "prose": "Gelingt es Angreifern Code auf dem System auszuführen, so könnten sie versuchen, über den Arbeitsspeicher des Systems den Schadcode weiter zu verbreiten oder Zugriff auf Daten zu erlangen. Hierzu gehören Angriffe wie Buffer Overflows, Return-Oriented Programming, Heap Spraying, Use-After-Free, Memory Scraping oder Side-Channel-Angriffe wie Spectre und Meltdown. Schutzmaßnahmen hiergegen können durch Software oder durch Hardware umgesetzt sein. Softwarebasiert sind z.B. Address Space Layout Randomization (ASLR), Data Execution Prevention (DEP), Stack Canaries. Hardwarebasiert sind z.B. Trusted Execution Environments (TEE)." + } + ] + } + ] + } + ] + }, + { + "id": "KONF.8", + "title": "Sicherheitsupdates", + "props": [ + { + "name": "label", + "value": "8" + }, + { + "name": "alt-identifier", + "value": "2ffa8a76-c30b-47a2-b2d3-8cfd9c397795" + } + ], + "controls": [ + { + "id": "KONF.8.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Automatische Überprüfung", + "props": [ + { + "name": "alt-identifier", + "value": "b26ab0d5-9daf-41e8-9b93-b8cfc58a2c4c" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.8.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "das Vorliegen von Sicherheitsupdates" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überwachen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für IT-Systeme SOLLTE das Vorliegen von Sicherheitsupdates überwachen." + }, + { + "id": "KONF.8.1_gdn", + "name": "guidance", + "prose": "Eine Überwachung von Sicherheitsupdates bedeutet, dass die IT-Systeme selbsttätig nach neuen Aktualisierungen suchen, die Schwachstellen in der Software beheben. Technisch können Systeme so konfiguriert werden, dass sie über zentrale Update-Server regelmäßig auf neue Patches prüfen. Es ist ratsam, einen automatisierten Prozess einzurichten, der bei Vorliegen von Updates diese automatisiert ausrollt oder eine Meldung an die zuständigen IT-Administratoren und ggf. die betroffenen Nutzer sendet. Diese Benachrichtigung kann über E-Mail, ein internes Ticketsystem oder ein Dashboard erfolgen. Ein guter Tipp ist die priorisierte Behandlung von Updates, bei der kritische Sicherheits-Patches vor Routine-Updates installiert werden." + } + ], + "controls": [ + { + "id": "KONF.8.1.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Automatische Sicherheitsupdates", + "props": [ + { + "name": "alt-identifier", + "value": "9a9b1174-5e40-49a5-8c4b-599c394a8de7" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.8.1.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Sicherheitsupdates" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "automatisch" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "installieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für IT-Systeme SOLLTE Sicherheitsupdates automatisch installieren." + }, + { + "id": "KONF.8.1.1_gdn", + "name": "guidance", + "prose": "Dies kann durch direkten Download vom Hersteller oder einen eigenen Verteilerserver umgesetzt werden, so lange dieser ebenfalls automatisch aktuell gehalten wird. Damit Sicherheitsupdates des Betriebssystems auch tatsächlich wirken und Fehlerzustände vermieden werden ist typischerweise ein Neustart erforderlich, damit die Betriebssystemfunktionen und damit verbundene Anwendungen aus dem installierten Update neu geladen und in einen definierten Zustand versetzt werden. Manche Systeme unterstützen alternativ auch Live-Patching des Betriebssystems im laufenden Betrieb." + } + ] + } + ] + }, + { + "id": "KONF.8.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Automatische Updates der Anwendung", + "props": [ + { + "name": "alt-identifier", + "value": "5a8998f1-d49f-45aa-8b08-7eafd9b17415" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.8.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die automatische Installation von Sicherheitsupdates" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für Anwendungen SOLLTE die automatische Installation von Sicherheitsupdates aktivieren." + }, + { + "id": "KONF.8.2_gdn", + "name": "guidance", + "prose": "Dies kann durch direkten Download vom Hersteller oder einen eigenen Verteilerserver umgesetzt werden, so lange dieser aktuell gehalten wird." + } + ] + } + ] + }, + { + "id": "KONF.9", + "title": "Verfügbarkeit von Ressourcen", + "props": [ + { + "name": "label", + "value": "9" + }, + { + "name": "alt-identifier", + "value": "100e91f0-6096-4663-98e5-1667ca9c2849" + } + ], + "controls": [ + { + "id": "KONF.9.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Speicherplatzbegrenzung", + "props": [ + { + "name": "alt-identifier", + "value": "d837fc6f-c113-445d-b8e5-021317d2ca90" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.9.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "den Speicherplatz für die Nutzerumgebung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "einschränken" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für IT-Systeme SOLLTE den Speicherplatz für die Nutzerumgebung einschränken." + }, + { + "id": "KONF.9.1_gdn", + "name": "guidance", + "prose": "Nutzerumgebung meint hier alle Anwendungen und Dienste, die auf dem System betrieben werden, aber keine Systemdienste sind. Alternativ empfiehlt es sich Mechanismen des verwendeten Datei- oder Betriebssystems zu nutzen, die Benutzende bei einem bestimmten Füllstand der Festplatte warnen oder nur noch Administrierenden Schreibrechte einräumen." + } + ] + }, + { + "id": "KONF.9.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Begrenzung der Rechenleistung", + "params": [ + { + "id": "konf.9.2-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "3b0eb166-07b9-4b51-a1f5-75513b28015c" + } + ], + "label": "Schwellwerten" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "3b0eb166-07b9-4b51-a1f5-75513b28015c" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.9.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Hostsysteme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die zur Verfügung stehende Rechenleistung" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "anhand von {{Schwellwerten}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "einschränken" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Konfiguration für Hostsysteme KANN die zur Verfügung stehende Rechenleistung anhand von {{ insert: param, konf.9.2-prm1 }} einschränken." + }, + { + "id": "KONF.9.2_gdn", + "name": "guidance", + "prose": "Dies kann durch eine Beschränkung der Anzahl verwendeter Rechenkerne, der Rechenleistung pro Rechenkern oder durch eine indirekte Beschränkung (z.B. eine begrenzte Menge an Anfragen oder Eingabetoken in Anwendungen) umgesetzt werden." + } + ] + }, + { + "id": "KONF.9.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Alternative Komponenten für kritische Funktionen", + "params": [ + { + "id": "konf.9.3-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "bd64ca41-01df-48ba-85ea-3241017cf750" + } + ], + "label": "bestimmte kritische Funktionen" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "bd64ca41-01df-48ba-85ea-3241017cf750" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.9.3_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "IT-Systeme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "alternative Komponenten" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "für {{bestimmte kritische Funktionen}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "installieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Konfiguration für IT-Systeme KANN alternative Komponenten für {{ insert: param, konf.9.3-prm1 }} installieren." + }, + { + "id": "KONF.9.3_gdn", + "name": "guidance", + "prose": "Beispiele sind redundante Stromnetzteile, Ethernet-Anschlüsse oder eine Mobilfunkanbindung als Ausfallsicherheit für die kabelgebundene Netzanbindung." + } + ] + } + ] + }, + { + "id": "KONF.10", + "title": "Konfiguration von Anwendungen", + "props": [ + { + "name": "label", + "value": "10" + }, + { + "name": "alt-identifier", + "value": "77993322-eb6f-4099-a1aa-f3c03a3ac7a1" + } + ], + "controls": [ + { + "id": "KONF.10.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Grundkonfiguration für Anwendungen", + "props": [ + { + "name": "alt-identifier", + "value": "23571325-0e60-4d28-96e1-ed57f794f790" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "KONF.10.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine Grundkonfiguration" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für Anwendungen SOLLTE eine Grundkonfiguration dokumentieren." + }, + { + "id": "KONF.10.1_gdn", + "name": "guidance", + "prose": "Eine Grundkonfiguration (engl. baseline configuration) bezeichnet in diesem Kontext einen dokumentierten Ausgangszustand einer Anwendung, der sowohl funktionale Anforderungen als auch sicherheitsrelevante Einstellungen berücksichtigt. Sie umfasst unter anderem Parameter wie Benutzerrechte, Logging-Einstellungen, Schnittstellenaktivierungen oder Verschlüsselungsoptionen und bildet damit die Referenz, auf die spätere Anpassungen zurückgeführt oder überprüft werden können. Fehlt eine nachvollziehbare Grundkonfiguration, könnte es bei Updates, Migrationen oder im Incident-Fall zu schwer erkennbaren Abweichungen kommen, die unerwünschte Sicherheitslücken hinterlassen. Eine klare Dokumentation kann dagegen die Nachvollziehbarkeit erhöhen, unerwünschte Änderungen sichtbar machen und den sicheren Betrieb der Anwendung unterstützen. Zur praktischen Umsetzung kann die Institution eine dokumentierte Konfigurationsvorlage entwickeln, die sowohl Herstellerempfehlungen als auch anerkannte Empfehlungen des BSI oder aus Benchmarks wie die des Center for Internet Security (CIS) berücksichtigt. Die Sicherheit von Anwendungen ist in besonderem Maße kontextbezogen: So könnten z.B. über E-Mail oder Messenger hoch vertrauliche Daten ausgetauscht werden oder auch öffentliche Informationen. Daher ist hier eine Vertiefung der Risikoanalyse empfehlenswert, die sich an der Verwendung der Anwendungen in Geschäftsprozessen orientiert. Dabei besteht ein enger Bezug zu Compliance-Anforderungen, zum Beispiel an finanzielle Transaktionen oder den Datenschutz, je nachdem welche Datenverarbeitungen mit der Anwendung vorgenommen werden." + } + ], + "controls": [ + { + "id": "KONF.10.1.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Versionierung der Anwendungskonfiguration", + "props": [ + { + "name": "alt-identifier", + "value": "cb46badf-b942-4007-ab50-e941711b3c58" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + } + ], + "parts": [ + { + "id": "KONF.10.1.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine Versionierung vorheriger Konfigurationen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für Anwendungen SOLLTE eine Versionierung vorheriger Konfigurationen verankern." + }, + { + "id": "KONF.10.1.1_gdn", + "name": "guidance", + "prose": "Die Versionierung bezeichnet hier die strukturierte Nachvollziehbarkeit von Änderungen an Konfigurationen, also das Speichern, Dokumentieren und bei Bedarf Wiederherstellen älterer Zustände einer Anwendung. Sie unterscheidet sich von einem einfachen Backup dadurch, dass nicht nur eine Kopie vorliegt, sondern explizit eine fortlaufende Historie mit Vergleichen, Rücksetzpunkten (rollback points) und optional Kommentaren geführt wird. Der Zweck liegt darin, dass eine ungewollte oder fehlerhafte Anpassung an einer Anwendungskonfiguration im Betrieb schnell erkannt und – wenn erforderlich – präzise auf einen definierten, funktionsfähigen Zustand zurückgesetzt werden kann. Ohne diese Rückgriffsmöglichkeit könnte ein Konfigurationsfehler den gesamten Dienst außer Betrieb setzen, während eine Versionierung die Verfügbarkeit und Nachvollziehbarkeit stärken kann. Zur Umsetzung kann eine Institution technische Verfahren einsetzen, die eine automatische Ablage und Historisierung von Konfigurationsdateien unterstützen, beispielsweise durch (1) den Einsatz verteilter Versionskontrollsysteme wie Git oder Subversion (SVN) für textbasierte Konfigurationsdateien, (2) integrierte Konfigurationsarchivierung in gängigen Deployment- oder Container-Tools, oder (3) systemseitige Snapshot-Mechanismen, die gezielt für Konfigurationsverzeichnisse genutzt werden." + } + ] + } + ] + }, + { + "id": "KONF.10.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Kryptographische Verfahren in Anwendungen", + "params": [ + { + "id": "konf.10.2-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "94aac721-fbe3-44d0-a0ce-55ebded001ab" + } + ], + "label": "anerkannten Standards" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "94aac721-fbe3-44d0-a0ce-55ebded001ab" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "links": [ + { + "href": "#BER.1.1", + "rel": "related" + }, + { + "href": "#KONF.14.1", + "rel": "related" + } + ], + "parts": [ + { + "id": "KONF.10.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "kryptographische Verfahren" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "nach {{anerkannten Standards}} im Einklang mit den zugehörigen Anforderungen zum Identitäts- und Berechtigungsmanagement" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für Anwendungen SOLLTE kryptographische Verfahren nach {{ insert: param, konf.10.2-prm1 }} im Einklang mit den zugehörigen Anforderungen zum Identitäts- und Berechtigungsmanagement aktivieren." + }, + { + "id": "KONF.10.2_gdn", + "name": "guidance", + "prose": "Kryptographie wird für die Authentifizierung, Verschlüsselung und Integritätprüfung in Anwendungen verwendet, z.B. bei der Anmeldung an der Anwendung oder digitalen Signierung von Nachrichten. Die Formulierung \"im Einklang mit den zugehörigen Anforderungen zum Identitäts- und Berechtigungsmanagement\" bedeutet, dass die Authentifizierung so erfolgt, wie in der Praktik Berechtigung (BER) festgelegt. Hierzu gehört insbesondere die Verwendung aktueller kryptographischer Verfahren, wie sie im Thema Schlüsselmanagement zu finden ist. Anerkannte kryptographische Verfahren sind in der BSI TR-02102 zu finden." + } + ] + }, + { + "id": "KONF.10.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Änderung von Default-Zugangsdaten", + "props": [ + { + "name": "alt-identifier", + "value": "f154f8a8-8abb-4c9c-a3d8-f2d20d6fd339" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "1" + } + ], + "parts": [ + { + "id": "KONF.10.3_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Änderung von Default-Zugangsdaten" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "ausführen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für Anwendungen SOLLTE die Änderung von Default-Zugangsdaten ausführen." + }, + { + "id": "KONF.10.3_gdn", + "name": "guidance", + "prose": "Hiermit sind Default-Passwörter, als auch vertrauenswürdige Authentisierungs-Schlüssel oder Zertifikate fallen, die per Default zur Anmeldung akzeptiert werden, gemeint." + } + ] + }, + { + "id": "KONF.10.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Deaktivierung nicht benötigter Anwendungsfunktionen", + "props": [ + { + "name": "alt-identifier", + "value": "990f4798-6926-41be-b09d-ee0162c530a0" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "parts": [ + { + "id": "KONF.10.4_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "nicht benötigte Anwendungsfunktionen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "deaktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für Anwendungen SOLLTE nicht benötigte Anwendungsfunktionen deaktivieren." + }, + { + "id": "KONF.10.4_gdn", + "name": "guidance", + "prose": "Funktionen die für den Betrieb nicht benötigt werden stellen ein unnötiges Sicherheitsrisiko dar, da sie von Angreifern ausgenutzt werden oder durch Wechselwirkungen zu unvorhergesehenen Fehlern führen könnten. Hierzu gehören z.B. ungenutzte Cloud-Anbindungen, Module, Leistungsmerkmale oder Einstellungen. Installationspakete enthalten häufig eine Vielzahl von ausführbaren Dateien und Erweiterungen. Für den Betrieb nicht benötigte Anwendungskomponenten können Schwachstellen enthalten und sind ein unnötiges Sicherheitsrisiko." + } + ] + }, + { + "id": "KONF.10.5", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Überprüfung der Konfiguration", + "params": [ + { + "id": "konf.10.5-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "7f01dfb0-75b6-4248-a852-16ebca5f1c45" + } + ], + "label": "regelmäßig" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "7f01dfb0-75b6-4248-a852-16ebca5f1c45" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + } + ], + "parts": [ + { + "id": "KONF.10.5_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Übereinstimmung der tatsächlichen Konfiguration mit dem Referenzzustand" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{regelmäßig}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überprüfen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für Anwendungen SOLLTE die Übereinstimmung der tatsächlichen Konfiguration mit dem Referenzzustand {{ insert: param, konf.10.5-prm1 }} überprüfen." + }, + { + "id": "KONF.10.5_gdn", + "name": "guidance", + "prose": "Referenzzustand („baseline configuration“) bezeichnet hier die dokumentierte und freigegebene Konfiguration der Anwendung, also die gewünschte und autorisierte Einstellung von Parametern, Diensten und Komponenten. Die tatsächliche Konfiguration ist die aktuelle technische Umsetzung dieser Einstellungen der Anwendung selbst. Der Abgleich beider Zustände dient vor allem der Vermeidung von Configuration Drift – d.h. dass Anwendungen schleichend von der definierten Grundkonfiguration abweichen. Dies könnte auftreten, wenn Änderungen nicht zentral dokumentiert oder automatisierte Installationen nicht einheitlich umgesetzt werden. Ohne diese Kontrolle könnte es zu unbemerkten Fehlkonfigurationen kommen, die Sicherheitslücken öffnen oder Betriebsstörungen verursachen. Durch regelmäßige Vergleiche kann eine Institution sicherstellen, dass Anwendungen konsistent, vertrauenswürdig und wartbar bleiben. Die Umsetzung kann technisch etwa mit Skripten erfolgen, die automatisiert Konfigurationsparameter auslesen und vergleichen. Auch der Einsatz von „Configuration Management“- oder „Compliance Scanning“-Werkzeugen kann unterstützen, indem sie Differenzen visualisieren und Reports erzeugen. Prozessual kann es hilfreich sein, Prüfintervalle nach Kritikalitätsklassen zu staffeln (z. B. sicherheitskritische Anwendungen wöchentlich, weniger kritische vierteljährlich) und Ergebnisse in Change-Management-Prozesse zurückzuführen." + } + ], + "controls": [ + { + "id": "KONF.10.5.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Automatisierte Überprüfung der Konfiguration", + "params": [ + { + "id": "konf.10.5.1-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "9e53c0f8-53e0-439b-a4ce-ee321f55ac52" + } + ], + "label": "einen automatisierten Mechanismus" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "9e53c0f8-53e0-439b-a4ce-ee321f55ac52" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + } + ], + "parts": [ + { + "id": "KONF.10.5.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Detektions-Konzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Überprüfung der Konfiguration durch {{einen automatisierten Mechanismus}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Konfiguration für Anwendungen KANN die Überprüfung der Konfiguration durch {{ insert: param, konf.10.5.1-prm1 }} aktivieren." + }, + { + "id": "KONF.10.5.1_gdn", + "name": "guidance", + "prose": "Die automatische Auditierung der Systemkonfiguration ermöglicht eine kontinuierliche und effiziente Überprüfung, ob IT-Systeme sicher und regelkonform konfiguriert sind. Dabei wird die aktuelle Konfiguration automatisiert mit vordefinierten Soll-Vorgaben (etwa unternehmensinternen Richtlinien oder externen Benchmarks wie denen des Center for Internet Security (CIS)) abgeglichen. Dies ist besonders sinnvoll, da manuelle Prüfungen fehleranfällig, zeitaufwändig und in großen Infrastrukturen kaum durchführbar sind. Automatisierte Audits erhöhen die Transparenz, erkennen Abweichungen frühzeitig und erleichtern die Einhaltung von Compliance-Vorgaben. So wird die Angriffsfläche durch fehlerhafte oder unsichere Einstellungen erheblich reduziert." + } + ] + } + ] + } + ] + }, + { + "id": "KONF.11", + "title": "Vertrauensbeziehungen", + "props": [ + { + "name": "label", + "value": "11" + }, + { + "name": "alt-identifier", + "value": "29f77df2-4ae6-4bdf-8d1a-41c7a6ca2710" + } + ], + "controls": [ + { + "id": "KONF.11.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Authentifizierung vor dem Zugriff", + "props": [ + { + "name": "alt-identifier", + "value": "6bcd486c-909c-424c-9f78-35ed96588a5c" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "1" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung, Zero Trust" + } + ], + "links": [ + { + "href": "#BER.1.1", + "rel": "related" + } + ], + "parts": [ + { + "id": "KONF.11.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Zugriffe auf schützenswerte Daten" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "im Einklang mit den zugehörigen Anforderungen zum Identitäts- und Berechtigungsmanagement" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "authentifizieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für Anwendungen SOLLTE Zugriffe auf schützenswerte Daten im Einklang mit den zugehörigen Anforderungen zum Identitäts- und Berechtigungsmanagement authentifizieren." + }, + { + "id": "KONF.11.1_gdn", + "name": "guidance", + "prose": "Ziel ist es, vertrauliche Daten vor dem Zugriff von Unbefugten zu schützen. Relevant sind hierbei sowohl Frontend-Zugänge wie Webportale, als auch Backend-Datenschnittstellen wie Datenbank-API. Dies kann durch eine anwendungsspezifische Authentifizierung, oder durch Nutzung eines zentralen Identity Providers (Single-Sign-On) erfüllt werden. Für die Authentifizierung kommen z.B. Passwörter, X.509-Zertifikate, OTP-Token in Frage. Zweckmäßig ist hierfür der Einsatz von Standardkomponenten wie OAuth 2.0 und die Verbindung mit einem zentralen Berechtigungsmanagement der Anwendung. Im Einklang mit den Anforderungen des Identitäts- und Berechtigungsmanagements bedeutet, dass für die Anwendung die Anforderungen aus der Praktik Identitäts- und Berechtigungsmanagement erfüllt sind, die dort festgelegt wurden. Hierzu gehört die Art der Authentifizierung (z.B. Passwort, Biometrie, Mehr-Faktor-Authentifizierung) ebenso wie die relevanten Parameter (Passwortkomplexität, etc.). Auf Daten die nicht vertraulich (z.B. öffentlich) sind kann auch ohne Authentifizierung Zugriff erlaubt sein. Die Formulierung \"im Einklang mit den zugehörigen Anforderungen zum Identitäts- und Berechtigungsmanagement\" bedeutet, dass die Authentifizierung so erfolgt, wie in der Praktik Berechtigung (BER) festgelegt. Hierzu gehört insbesondere die Verwendung aktueller kryptographischer Verfahren, wie sie im Thema Kryptographie zu finden ist. Verarbeitet die Anwendung gar keine vertraulichen Daten, dann ist die Anforderung entbehrlich." + } + ], + "controls": [ + { + "id": "KONF.11.1.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Authentifizierung von geplanten Konversationen", + "props": [ + { + "name": "alt-identifier", + "value": "07493cf7-5071-4749-b58a-586016679f1e" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "1" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "links": [ + { + "href": "#BER.1.1", + "rel": "related" + } + ], + "parts": [ + { + "id": "KONF.11.1.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "TK-Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "den Zugriff auf geplante Konversationen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "im Einklang mit den zugehörigen Anforderungen zum Identitäts- und Berechtigungsmanagement" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "authentifizieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für TK-Anwendungen SOLLTE den Zugriff auf geplante Konversationen im Einklang mit den zugehörigen Anforderungen zum Identitäts- und Berechtigungsmanagement authentifizieren." + }, + { + "id": "KONF.11.1.1_gdn", + "name": "guidance", + "prose": "Viele TK-Anwendungen bieten geplante Konversationen, z.B. in virtuellen Meeting-Räumen oder über Telefonkonferenzen, die über eine Rufnummer erreichbar sind. Wird der Zugriff hierauf nicht authentifiziert, so könnten unbemerkt Unberechtigte teilnehmen und Informationen abhören oder auf Meta-Informationen wie Teilnehmer oder Uhrzeiten zugreifen. Der Schutz kann z.B. durch Passwörter/PINs oder über die Anmeldung per Zertifikat oder Single-Sign-On geschehen. Die Formulierung \"im Einklang mit den zugehörigen Anforderungen zum Identitäts- und Berechtigungsmanagement\" bedeutet, dass die Authentifizierung so erfolgt, wie in der Praktik Berechtigung (BER) festgelegt. Hierzu gehört insbesondere die Verwendung aktueller kryptographischer Verfahren, wie sie im Thema Kryptographie zu finden ist." + } + ] + }, + { + "id": "KONF.11.1.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Authentifizierung von Netzverbindungen - clientseitig", + "props": [ + { + "name": "alt-identifier", + "value": "7bf1392f-5c43-43da-bb36-498b8a678e28" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung, Zero Trust" + } + ], + "links": [ + { + "href": "#BER.1.1", + "rel": "related" + } + ], + "parts": [ + { + "id": "KONF.11.1.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Gegenstelle vor dem Datenaustausch" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "im Einklang mit den zugehörigen Anforderungen zum Identitäts- und Berechtigungsmanagement" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "authentifizieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für Anwendungen SOLLTE die Gegenstelle vor dem Datenaustausch im Einklang mit den zugehörigen Anforderungen zum Identitäts- und Berechtigungsmanagement authentifizieren." + }, + { + "id": "KONF.11.1.2_gdn", + "name": "guidance", + "prose": "Stellt eine Anwendung Anfragen über das Netz oder nimmt eine Anwendung Anfragen über das Netz entgegen, so gewährleistet eine gegenseitige Authentifizierung der Kommunikationspartner (mutual authentication), dass diese autorisiert ist Anfragen zu stellen oder zu beantworten. Eine gängige Lösung ist die Prüfung von X.509-Zertifikaten beim Verbindungaufbau mit TLS. Für die Umsetzung ist es nicht unbedingt erforderlich, dass sich die Gegenstelle bei jeder Anfrage/Abruf erneut authentifiziert, wenn bei der Authentifizierung eine sichere Verbindung per TLS aufgebaut wird. Mit Anfragen sind alle Zugriffe gemeint, sei es über eine Web-URL oder eigene API. Die Formulierung \"im Einklang mit den zugehörigen Anforderungen zum Identitäts- und Berechtigungsmanagement\" bedeutet, dass die Authentifizierung so erfolgt, wie in der Praktik Berechtigung (BER) festgelegt. Hierzu gehört insbesondere die Verwendung aktueller kryptographischer Verfahren, wie sie im Thema Kryptographie zu finden ist. Hierzu gehört insbesondere die Verwendung aktueller kryptographischer Verfahren, wie sie im Thema Kryptographie zu finden ist. Für lesende Zugriffe auf unkritische, öffentliche Daten ist die Authentifizierung der lesenden Anwendung entbehrlich." + } + ] + } + ] + }, + { + "id": "KONF.11.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Warteraum", + "props": [ + { + "name": "alt-identifier", + "value": "5f29ed91-b7f8-401f-8986-1ea63cf09080" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.11.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "VK-Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "einen virtuellen Warteraum" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für VK-Anwendungen SOLLTE einen virtuellen Warteraum aktivieren." + }, + { + "id": "KONF.11.2_gdn", + "name": "guidance", + "prose": "Virtuelle Warteräume geben Konferenzmoderatoren die Möglichkeit, Teilnehmer vor Eintritt in einem virtuellen Warteraum persönlich zu authentifizieren." + } + ] + }, + { + "id": "KONF.11.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Alternative Authentifizierung", + "props": [ + { + "name": "alt-identifier", + "value": "7d8e0d79-751c-4afe-bbe5-124004f01577" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.11.3_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "ein ebenso vertrauenswürdiges, alternatives Verfahren zur Authentifizierung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Konfiguration für Anwendungen KANN ein ebenso vertrauenswürdiges, alternatives Verfahren zur Authentifizierung aktivieren." + }, + { + "id": "KONF.11.3_gdn", + "name": "guidance", + "prose": "Wenn Nutzende ihren Primärzugang (z.B. Passwort, Smartphone mit Authentifizierungs-App) nicht mehr haben, wird eine alternative Möglichkeit zur Authentifizierung benötigt. Damit dieser Alternativzugang den Schutz der Primärmethode nicht aushebelt, ist eine vergleichbare Zuverlässigkeit der Authentifizierung erforderlich. Lösungsmöglichkeiten je nach Schutzbedarf sind z.B. (1) ein Einmalpasswort, dass an die hinterlegte E-Mailadresse versendet wird, (2) die persönliche Vorstellung mit Ausweis, (3) die Verifikation über bestehende Sitzungen, (4) Rückfallantworten wie Sicherheitsfragen oder PUK." + } + ] + }, + { + "id": "KONF.11.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Veröffentlichung von Domain-Infomationen", + "params": [ + { + "id": "konf.11.4-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "24d7bd4d-9ae9-4871-b6da-4c5186351b46" + } + ], + "label": "Kriterien" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "24d7bd4d-9ae9-4871-b6da-4c5186351b46" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung, Data Leak, Recon" + } + ], + "parts": [ + { + "id": "KONF.11.4_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "DNS-Server" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Veröffentlichung von Domain-Infomationen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "anhand von {{Kriterien}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "einschränken" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für DNS-Server SOLLTE die Veröffentlichung von Domain-Infomationen anhand von {{ insert: param, konf.11.4-prm1 }} einschränken." + }, + { + "id": "KONF.11.4_gdn", + "name": "guidance", + "prose": "Angreifer nutzen häufig DNS um das Netz zu erkunden (DNS-Reconnaissance). Veröffentlichen Sie Domain-Informationen nur, wenn diese zu einem Dienst gehören, der zur externen Nutzung gedacht ist. Nur intern benötigte DNS-Einträge dagegen bleiben intern. Kriterien können z.B. Domains oder Subdomain sein (intern.domain.com vs www.domain.com)." + } + ] + }, + { + "id": "KONF.11.5", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Erraten von Zugriffslinks", + "params": [ + { + "id": "konf.11.5-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "951aea5d-e4c2-47c8-9a21-b1d00e3d499f" + } + ], + "label": "einen automatisierten Mechanismus" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "951aea5d-e4c2-47c8-9a21-b1d00e3d499f" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung, Brute-Force-Attacke" + } + ], + "parts": [ + { + "id": "KONF.11.5_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Webanwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "das Durchprobieren von Zugriffslinks" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "durch {{einen automatisierten Mechanismus}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "blockieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für Webanwendungen SOLLTE das Durchprobieren von Zugriffslinks durch {{ insert: param, konf.11.5-prm1 }} blockieren." + }, + { + "id": "KONF.11.5_gdn", + "name": "guidance", + "prose": "Ermöglichen Links den Zugriff auf vertrauliche Daten ohne Authentifizierung, so könnten Angreifer versuchen diese zu finden, z.B. mit Durchprobieren von Meeting-Links oder Ressourcen-URLs. Mögliche Maßnahmen sind Nicht-Sequentielle IDs mit hoher Entropie, Rate Limiting von Anfragen oder CAPTCHA. Hierbei bietet sich eine Kombination von Maßnahmen an, die Anzahl erwarteter Zugriffe, Verfügbarkeits- und Usability-Kriterien ebenso beachtet wie das Risikoprofil der Anwendung. Bietet die Webanwendung keinerlei Zugriff auf schützenswerte Informationen ohne Authentifizierung, so ist die Anforderung entbehrlich." + } + ] + }, + { + "id": "KONF.11.6", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Einschränkung unauthentifizierter Anschlüsse", + "props": [ + { + "name": "alt-identifier", + "value": "09f3cad1-7245-42f4-a62c-e48ce193ce8a" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.11.6_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "TK-Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "von unauthentifizierten Anschlüssen erreichbare Gegenstellen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "einschränken" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für TK-Anwendungen SOLLTE von unauthentifizierten Anschlüssen erreichbare Gegenstellen einschränken." + }, + { + "id": "KONF.11.6_gdn", + "name": "guidance", + "prose": "Als unauthentifizierte Anschlüsse (engl. unauthenticated connections) sind hier alle Endpunkte zu verstehen, die eine Kommunikation ohne Anmeldung ermöglichen. Dies umfasst beispielsweise Notfalltelefone in Aufzügen, öffentlich zugängliche Telefone oder auch Faxgeräte in ungesicherten Bereichen. Aber auch an Konferenzraum-Systeme für Videokonferenzen oder den anonymen Gast-Zugang zu Online-Meetings ist zu denken. Die Anforderung zielt darauf ab, den Missbrauch dieser Kommunikationskanäle zu unterbinden, deren Nutzung nicht eindeutig einem authentifizierten Benutzer zugeordnet werden kann. Ohne eine Einschränkung der erreichbaren Gegenstellen – also der kontaktierbaren externen Domänen, Meeting-IDs oder Benutzerkonten – könnte ein Angreifer vertrauliche interne Besprechungen ausspähen oder ein unautorisierter Gast könnte von einem Konferenzraum aus sensible Daten per Bildschirmübertragung an externe Dritte weitergeben. Ohne eine solche Einschränkung könnte ein unberechtigter Nutzer auf Kosten der Institution kostenpflichtige Mehrwertdienste oder teure Auslandsnummern anwählen und so erheblichen finanziellen Schaden verursachen. Ebenso könnte eine missbräuchliche Nutzung zur Belästigung Dritter oder zur Absetzung von böswilligen Notrufen erfolgen, was die Verfügbarkeit kritischer Ressourcen beeinträchtigen könnte." + } + ] + }, + { + "id": "KONF.11.7", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Übersicht angemeldeter Verbindungen", + "props": [ + { + "name": "alt-identifier", + "value": "eca3e9a0-b7b5-4e74-9c3e-1108c268246e" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.11.7_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine Übersicht angemeldeter Verbindungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Konfiguration für Anwendungen KANN eine Übersicht angemeldeter Verbindungen aktivieren." + }, + { + "id": "KONF.11.7_gdn", + "name": "guidance", + "prose": "Je nach Anwendung können dabei Informationen wie Gerätename, Betriebssystemtyp, Browser-Agent oder IP-Adresse angezeigt werden." + } + ] + }, + { + "id": "KONF.11.8", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Einschränkung von Schnittstellen", + "props": [ + { + "name": "alt-identifier", + "value": "e9c7f783-cc8f-499c-b556-8748f9420459" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.11.8_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "aktivierte Schnittstellen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "einschließlich denen zu anderen Anwendungen, Cloud-Funktionen oder Erweiterungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "einschränken" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für Anwendungen SOLLTE aktivierte Schnittstellen einschließlich denen zu anderen Anwendungen, Cloud-Funktionen oder Erweiterungen einschränken." + }, + { + "id": "KONF.11.8_gdn", + "name": "guidance", + "prose": "Die Einschränkung von Schnittstellen hilft, ungewollte oder böswillige Zugriffe auf Anwendungen und Daten zu verhindern. Durch das Festlegen klarer Regeln welche Systeme oder Anwendungen über welche Schnittstellen auf welche Daten zugreifen können wir das \"Need to know\" Prinzip in der Kommunikation umgesetzt. Ferner kann ein solcher Ansatz dazu beitragen, die Integrität und Vertraulichkeit von Informationen zu wahren, indem nur autorisierte Kommunikationspartner berechtigt werden, Daten zu lesen, zu schreiben oder Funktionalitäten aufzurufen. Beispiele sind die Synchronisierung von Lesezeichen und Historie im Browser, die Anbindung von Cloud-Funktionen, etwa eine serverless Image-Processing-API, für die ein entsprechendes Rollenkonzept noch nicht hinterlegt und von der Sicherheitsverantwortlichen geprüft wurde, oder die Installation einer Browsererweiterungen. Erweiterungen (Plugins, AddOns), die nicht von der Institution für die Verwendung autorisiert wurden, können zu ungewollten Datenabflüssen führen und Schadcode enthalten. Zur Umsetzung kann es hilfreich sein, standardisierte Formulare oder digitale Workflows zu etablieren, in denen die Notwendigkeit, der Umfang und die Verantwortlichen für jede neue Schnittstelle dokumentiert werden. Die Einschränkung kann auch durch Komponenten außerhalb der Anwendung erfolgen, zum Beispiel durch API-Gateways, die nur auf Whitelists registrierter Endpunkte reagieren, oder durch Einsatz von Zertifikaten und OAuth-Scopes. Um unautorisierte Erweiterungen technisch zu unterbinden kann die Deinstallation oder Deaktivierung der Erweiterungen, sowie das Setzen von Berechtigungen zur Installation nur für Administrierende umgesetzt werden." + } + ], + "controls": [ + { + "id": "KONF.11.8.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Einschränkung von Zonentransfers", + "props": [ + { + "name": "alt-identifier", + "value": "cf0655b0-3c6a-48a5-8f29-4445c26c3659" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.11.8.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "DNS-Server" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Zonentransfers" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "einschränken" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für DNS-Server SOLLTE Zonentransfers einschränken." + }, + { + "id": "KONF.11.8.1_gdn", + "name": "guidance", + "prose": "Zum Schutz vor DNS-Reconnaissance und DNS-Spoofing, da Zonendaten alle DNS-Einträger einer Domäne enthalten. Kann durch Einschränkung auf autorisierte IP-Adressen und TSIG umgesetzt werden." + } + ] + }, + { + "id": "KONF.11.8.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Einschränkung von TK-Verbindungen", + "props": [ + { + "name": "alt-identifier", + "value": "0467042c-2497-4f56-9514-404a36a90fd0" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "links": [ + { + "href": "#ARCH.5.1", + "rel": "related" + } + ], + "parts": [ + { + "id": "KONF.11.8.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "TK-Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "unerwünschte TK-Verbindungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "einschränken" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für TK-Anwendungen SOLLTE unerwünschte TK-Verbindungen einschränken." + }, + { + "id": "KONF.11.8.2_gdn", + "name": "guidance", + "prose": "Kann durch Session Border Controller (SBC) oder Filterung innerhalb von Anwendungen umgesetzt werden. SBC filtern die Signalisierung und Mediastreams auf dem Kommunikationsweg, insbesondere beim Verbindungsaufbau mittels SIP, H.323 oder MGCP." + } + ], + "controls": [ + { + "id": "KONF.11.8.2.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Einschränkung der TK-Gegenstellen", + "props": [ + { + "name": "alt-identifier", + "value": "756c0796-be3d-492d-a64e-3314f6d83805" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung, PSTN" + } + ], + "parts": [ + { + "id": "KONF.11.8.2.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "TK-Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Verbindungen mit externen Gegenstellen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "einschränken" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für TK-Anwendungen SOLLTE Verbindungen mit externen Gegenstellen einschränken." + }, + { + "id": "KONF.11.8.2.1_gdn", + "name": "guidance", + "prose": "Telekommunikation mit externen Stellen ist essenziell für viele Geschäftsprozesse, aber auch beliebtes Ziel für Social Engineering und technische Angriffe. Kann z.B. durch eine Beschränkung auf europäische Rufnummernkreise oder den Ausschluss unerwünschter IP-Adressbereiche umgesetzt werden." + } + ] + } + ] + } + ] + }, + { + "id": "KONF.11.9", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Verschlüsselung schützenswerter Daten (at-rest)", + "props": [ + { + "name": "alt-identifier", + "value": "d3e4416f-e997-4aec-a45b-eade4316d896" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung, Cryptography" + } + ], + "parts": [ + { + "id": "KONF.11.9_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "schützenswerte Daten" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "bei der Speicherung (at-rest)" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verschlüsseln" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Konfiguration für Anwendungen KANN schützenswerte Daten bei der Speicherung (at-rest) verschlüsseln." + }, + { + "id": "KONF.11.9_gdn", + "name": "guidance", + "prose": "Hierbei ist insbesondere an Zugangsdaten zu denken. Die Anforderung ist auch dann erfüllt, wenn Daten statt einer Verschlüsselung mit Hash und Salt versehen sind. Zur Umsetzung siehe BSI TR-02102." + } + ] + } + ] + }, + { + "id": "KONF.12", + "title": "Kontrollierte Datenverarbeitung", + "props": [ + { + "name": "label", + "value": "12" + }, + { + "name": "alt-identifier", + "value": "0588c1f1-d57a-4356-a14d-36bdf2f90b53" + } + ], + "controls": [ + { + "id": "KONF.12.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Eingabevalidierung", + "params": [ + { + "id": "konf.12.1-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "4cf4ca7f-0b09-4777-83dc-5569c8e08f63" + } + ], + "label": "einen automatisierten Mechanismus" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "4cf4ca7f-0b09-4777-83dc-5569c8e08f63" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "links": [ + { + "href": "#DEV.2.6.1", + "rel": "related" + } + ], + "parts": [ + { + "id": "KONF.12.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Validierung von Eingabedaten" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "durch {{einen automatisierten Mechanismus}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für Anwendungen SOLLTE die Validierung von Eingabedaten durch {{ insert: param, konf.12.1-prm1 }} aktivieren." + }, + { + "id": "KONF.12.1_gdn", + "name": "guidance", + "prose": "Eingabevalidierung (engl. input validation) ist die technische und logische Überprüfung von Daten, die von Nutzenden, Schnittstellen oder externen Quellen an eine Anwendung übergeben werden. Ziel ist es, sicherzustellen, dass nur erwartete, syntaktisch und semantisch korrekte Eingaben verarbeitet werden – beispielsweise Zahlen in einem numerischen Feld, zulässige Dateiformate bei Uploads oder inhaltlich beschränkte Steuerzeichen in Formularen. Fehlende oder unzureichende Eingabevalidierung könnte es Angreifenden ermöglichen, schadhaften Code einzuschleusen (injection attacks wie SQL Injection oder Command Injection), Geschäftslogik zu manipulieren oder Systeme über Ressourcenmissbrauch lahmzulegen. Eine saubere Validierung kann dagegen die Angriffsfläche deutlich reduzieren und die Verlässlichkeit der Anwendung erhöhen. Dabei hängt die Ausgestaltung stark vom Einsatzzweck ab: Während etwa bei einer Textverarbeitung größere Freiheiten gewährt werden können, erfordern sensible Szenarien wie SQL-Injection bei Datenbankanfragen, die Abwehr von prompt injection bei Large Language Models (LLM) oder die Verarbeitung von Zahlungsdaten sehr strikte Prüfungen. Je nach Anwendung und Risikoprofil können Plausibilitätsprüfungen, die Beschränkung der Eingabedaten auf vordefinierte Werte, Verifikationen der Daten bei einer dritten Stelle (z.B. eines Zahlungsmittels beim Zahlungsanbieter), Regular Expression Entry Patterns, oder Data Escaping als Maßnahmen sinnvoll sein." + } + ], + "controls": [ + { + "id": "KONF.12.1.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Zertifikatsprüfung", + "props": [ + { + "name": "alt-identifier", + "value": "0e183da9-8671-492b-ba81-f95ff6d90a26" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "1" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung, Phishing" + } + ], + "parts": [ + { + "id": "KONF.12.1.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Webbrowser" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die automatische Validierung des Zertifikates" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "einschließlich der vollständigen Zertifikatskette" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für Webbrowser SOLLTE die automatische Validierung des Zertifikates einschließlich der vollständigen Zertifikatskette aktivieren." + }, + { + "id": "KONF.12.1.1_gdn", + "name": "guidance", + "prose": "Zertifikatsprüfung (Certificate Validation) ist eine Funktion, bei der ein Browser das digitale Zertifikat einer Webseite vor dem Verbindungsaufbau verifiziert. Dabei wird sichergestellt, dass das Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle (CA - Certificate Authority) ausgestellt, gültig und nicht abgelaufen oder widerrufen ist. Dabei wird die vollständige Zertifikatskette, einschließlich des Root-Zertifikates verifiziert. Ist das Zertifikat ungültig, so wird der Aufruf der Seite blockiert. Die korrekte Implementierung dieses Prozesses kann die Vertraulichkeit und Integrität der übertragenen Daten gewährleisten und schützt vor Man-in-the-Middle-Angriffen, bei denen Angreifer versuchen, den Datenverkehr abzufangen. Zur Umsetzung dieser Anforderung können Institutionen die zentrale Konfiguration von Browsern über Gruppenrichtlinien (Group Policies) oder Mobile Device Management (MDM)-Lösungen vornehmen." + } + ] + }, + { + "id": "KONF.12.1.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Content Security Policy (CSP)", + "props": [ + { + "name": "alt-identifier", + "value": "65287ea4-9379-4088-adb0-774fb2b9ccbb" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "1" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.12.1.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Webbrowser" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "aufgerufene Inhalte anhand der von der Webseite bereitgestellten Content Security Policy" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "einschränken" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für Webbrowser SOLLTE aufgerufene Inhalte anhand der von der Webseite bereitgestellten Content Security Policy einschränken." + }, + { + "id": "KONF.12.1.2_gdn", + "name": "guidance", + "prose": "Eine Content Security Policy (CSP) ist ein Sicherheitsmechanismus, der es einer Webseite erlaubt, dem Webbrowser mitzuteilen, von welchen Quellen er aktive Inhalte wie Skripte oder auch passive Inhalte wie Bilder laden darf. Durch diesen als Whitelist funktionierenden Ansatz kann die Institution die Angriffsfläche ihrer Webanwendungen erheblich reduzieren. Ohne eine wirksame CSP könnten Angreifer durch Cross-Site-Scripting-Angriffe (XSS) bösartige Skripte in eine Webseite einschleusen, die dann im Browser des Nutzers ausgeführt werden und beispielsweise sensible Daten auslesen oder Aktionen im Namen des Opfers durchführen könnten. Die Aktivierung einer CSP blockiert die Ausführung von nicht vertrauenswürdigen Skripten und das Laden unerwünschter Ressourcen und schützt somit die Integrität und Vertraulichkeit der Web-Sitzung." + } + ] + }, + { + "id": "KONF.12.1.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Same-Origin-Policy", + "props": [ + { + "name": "alt-identifier", + "value": "faaaee02-ac74-49a0-af01-4e5659ea1053" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "1" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.12.1.3_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Webbrowser" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "aufgerufene Inhalte anhand der von der Webseite bereitgestellten Same-Origin-Policy" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "einschränken" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für Webbrowser SOLLTE aufgerufene Inhalte anhand der von der Webseite bereitgestellten Same-Origin-Policy einschränken." + }, + { + "id": "KONF.12.1.3_gdn", + "name": "guidance", + "prose": "Die Same-Origin-Policy, oft auch als SOP bekannt, ist ein fundamentaler Sicherheitsmechanismus im Webbrowser, der sicherstellt, dass von einer Quelle (Origin) geladene Skripte oder Dokumente nicht mit Ressourcen einer anderen Quelle interagieren können, wobei eine Quelle durch die Kombination aus Protokoll, Hostname und Port definiert wird. Sinn und Zweck dieser strikten Trennung ist der Schutz vor Datenabfluss und unbefugten Interaktionen zwischen unterschiedlichen Webanwendungen innerhalb derselben Browsersitzung. Ohne diese Isolierung könnte eine schadhafte Webseite beispielsweise vertrauliche Informationen aus einer parallel geöffneten legitimen Anwendung, wie einem Online-Banking-Portal oder internen Firmentool, auslesen und an einen Angreifer senden. Die konsequente Durchsetzung der Same-Origin-Policy durch den Browser kann solche Cross-Site-Scripting-Angriffe (XSS) effektiv unterbinden und somit die Vertraulichkeit und Integrität der vom Nutzer verarbeiteten Daten gewährleisten." + } + ] + }, + { + "id": "KONF.12.1.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Subresource Integrity-Prüfung", + "props": [ + { + "name": "alt-identifier", + "value": "0e525ce3-95e3-4095-83f7-942eb6b09c50" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "1" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.12.1.4_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Webbrowser" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "aufgerufene Inhalte anhand der von der Webseite bereitgestellten Subresource Integrity-Prüfung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "einschränken" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für Webbrowser SOLLTE aufgerufene Inhalte anhand der von der Webseite bereitgestellten Subresource Integrity-Prüfung einschränken." + }, + { + "id": "KONF.12.1.4_gdn", + "name": "guidance", + "prose": "Unter Subresource Integrity (SRI), zu Deutsch etwa „Integrität von Unterressourcen“, versteht man einen Sicherheitsmechanismus von Webbrowsern, der sicherstellt, dass die vom Browser geladenen Ressourcen, wie z.B. JavaScript-Dateien oder CSS-Stylesheets, die von einem Drittanbieter (etwa einem Content Delivery Network, CDN) stammen, nicht unerwünscht manipuliert wurden. Technisch geschieht dies dadurch, dass die Webseite beim Einbinden der Ressource einen kryptografischen Hashwert (oder Digest) der erwarteten Datei als Attribut (z.B. integrity=\"...\") mitsendet. Der Webbrowser kann dann nach dem Herunterladen der Ressource diesen Hashwert neu berechnen und mit dem bereitgestellten Wert vergleichen. Dies ist notwendig, da die Institution zwar die eigene Webseite kontrolliert, aber nicht die Server Dritter, von denen oft Bibliotheken geladen werden. Der Sinn und Zweck dieser Vorschrift liegt darin, die Sicherheit der Endnutzer zu erhöhen und Risiken durch manipulierte externe Inhalte zu minimieren. Ohne diese Prüfung könnte eine kompromittierte Drittanbieter-Ressource bösen Code in die Webseite der Institution einschleusen, was zu Vorfällen wie Datendiebstahl oder der Installation von Malware auf den Geräten der Nutzer führen könnte." + } + ] + }, + { + "id": "KONF.12.1.5", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "HTTP Strict Transport Security (HSTS)", + "props": [ + { + "name": "alt-identifier", + "value": "275e3b2d-5008-48ba-8d4f-72830bc8c730" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "1" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.12.1.5_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Webbrowser" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "aufgerufene Inhalte anhand der von der Webseite bereitgestellten HTTP Strict Transport Security (HSTS) Richtlinie" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "einschränken" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für Webbrowser SOLLTE aufgerufene Inhalte anhand der von der Webseite bereitgestellten HTTP Strict Transport Security (HSTS) Richtlinie einschränken." + }, + { + "id": "KONF.12.1.5_gdn", + "name": "guidance", + "prose": "Die HTTP Strict Transport Security (HSTS) ist ein Web-Sicherheitsmechanismus – definiert in IETF RFC 6797 – der Webbrowser zwingt, eine ausschließlich verschlüsselte Verbindung (HTTPS) mit einem Webserver zu nutzen, selbst wenn der Nutzer oder eine Anwendung versucht, über das unsichere HTTP zuzugreifen. Konkret beinhaltet die HSTS-Richtlinie (oder Policy) einen speziellen HTTP-Antwort-Header, den der Webserver an den Browser sendet, der die Dauer (max-age) festlegt, für die der Browser die Verbindung nur über HTTPS herstellen soll. Die restriktive Konfiguration von Webbrowsern in Bezug auf diese Richtlinie kann die Schutzwirkung erhöhen, da so das Risiko eines Man-in-the-Middle (MITM)-Angriffs, bei dem ein Angreifer eine unverschlüsselte Verbindung abfangen oder den Nutzer auf eine unsichere Seite umleiten könnte, deutlich reduziert wird. Eine solche Konfiguration kann die Institution vor dem ungewollten Downgrade-Angriff (Downgrade Attack) schützen, bei dem die Verbindung von HTTPS auf das unsichere HTTP erzwungen wird." + } + ] + }, + { + "id": "KONF.12.1.6", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "JavaScript", + "props": [ + { + "name": "alt-identifier", + "value": "f66bbf9d-76ba-423f-b2e5-25cc775c16c6" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.12.1.6_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Webbrowser" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "JavaScript" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "einschränken" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Konfiguration für Webbrowser KANN JavaScript einschränken." + }, + { + "id": "KONF.12.1.6_gdn", + "name": "guidance", + "prose": "Schadcode in JavaScript kann unbefugt auf sensible Daten zugreifen oder die angezeigte Webseite manipulieren. Da viele Webseiten JavaScript zur Ausführung benötigen, ist die Deaktivierung von JavaScript mit erheblichen funktionalen Einschränkungen verbunden. Ein möglicher Kompromiss ist, dass Administrierende oder Nutzende Ausnahmen für einzelne Seiten hinzufügen können." + } + ] + }, + { + "id": "KONF.12.1.7", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Filtern schädlicher Webinhalte", + "props": [ + { + "name": "alt-identifier", + "value": "568f6977-4f5c-44a4-92c7-1e6e09cc3631" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "links": [ + { + "href": "#ARCH.5.1.10", + "rel": "related" + } + ], + "parts": [ + { + "id": "KONF.12.1.7_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Webanwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine Filterung schädlicher Webinhalte" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für Webanwendungen SOLLTE eine Filterung schädlicher Webinhalte aktivieren." + }, + { + "id": "KONF.12.1.7_gdn", + "name": "guidance", + "prose": "Anfragen an Webanwendungen könnten dazu führen, dass diese sich anders verhalten als gewollt. Mögliche Folgen sind die unzulässige Preisgabe von Informationen, die Manipulation oder der Verlust von Daten sowie Betriebsstörungen. Typische Auslöser sind SQL Injection oder Cross-Site-Scripting. Solche potenziell schädlich wirkenden Inhalte können durch eine Web Application Firewall oder durch geeignete Eingabevalidierung in der Webanwendung gefiltert werden." + } + ] + }, + { + "id": "KONF.12.1.8", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Duplikate im Verzeichnisbaum", + "props": [ + { + "name": "alt-identifier", + "value": "c9194ad7-5382-4810-a5b9-d4013a28f5a5" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.12.1.8_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Verzeichnisdienste" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Duplikate im Verzeichnisbaum" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "blockieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für Verzeichnisdienste SOLLTE Duplikate im Verzeichnisbaum blockieren." + }, + { + "id": "KONF.12.1.8_gdn", + "name": "guidance", + "prose": "Da jedes Zugangskonto nur einmal benötigt wird können Duplikate von Attributen wie Name oder Organisationseinheit nur als Fehler oder Angriff vorkommen. In OpenLDAP kann dies beispielsweise durch Overlays realisiert werden. Dies gilt ausschließlich für Daten von Nutzenden." + } + ] + }, + { + "id": "KONF.12.1.9", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Journaling", + "props": [ + { + "name": "alt-identifier", + "value": "87ccf38b-ac1d-4e14-a599-b536321b0f75" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "1" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.12.1.9_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Dateiserver" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Dateisystem-Journaling" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für Dateiserver SOLLTE Dateisystem-Journaling aktivieren." + }, + { + "id": "KONF.12.1.9_gdn", + "name": "guidance", + "prose": "Beim Journaling werden Änderungen an Dateien zunächst in einem speziellen Protokoll (Journal) aufgezeichnet, bevor sie tatsächlich geschrieben werden, um Datenintegrität und Konsistenz sicherzustellen. Auf einem Dateiserver ist dies besonders wichtig, da es das Risiko von Datenverlusten bei plötzlichen Abstürzen oder Stromausfällen minimiert und eine schnelle Wiederherstellung ermöglicht." + } + ] + }, + { + "id": "KONF.12.1.10", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "HTTP-Response-Header", + "props": [ + { + "name": "alt-identifier", + "value": "34bf7846-28cb-41db-bd7b-2e81bee980b3" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.12.1.10_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Webanwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "HTTP-Response-Header" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für Webanwendungen SOLLTE HTTP-Response-Header aktivieren." + }, + { + "id": "KONF.12.1.10_gdn", + "name": "guidance", + "prose": "Hierzu können z.B. Content-Security-Policy (CSP), X-Frame-Options, X-XSS-Protection, Referrer-Policy, Permissions-Policy, HSTS und X-Content-Type-Optionen gehören." + } + ] + }, + { + "id": "KONF.12.1.11", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Aktive Dateiinhalte", + "props": [ + { + "name": "alt-identifier", + "value": "fe822942-31a1-4961-832f-3523f7622754" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.12.1.11_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Office-Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "aktive Inhalte in Office-Dateien" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "deaktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für Office-Anwendungen SOLLTE aktive Inhalte in Office-Dateien deaktivieren." + }, + { + "id": "KONF.12.1.11_gdn", + "name": "guidance", + "prose": "Aktive Inhalte (Makros) in Office-Dokumenten können Schadcode enthalten oder zu nicht nachvollziehbaren Datenfehlern führen. Viele Nutzende verwenden solche Funktionen jedoch für ihre Arbeit, so dass eine generelle Sperrung mit Einschränkungen verbunden ist. Autorisierte Ausnahmen bilden daher einen guten Kompromiss bei normalen Schutzbedarf. Dies kann durch den geschützten Modus (Protected View) umgesetzt werden. Werden bestimmte Makros dennoch häufig benötigt, so können Makros mit digitaler Signatur einer anerkannten Zertifizierungsstelle oder von vertrauenswürdigen Speicherorten zugelassen werden." + } + ] + } + ] + }, + { + "id": "KONF.12.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Verschlüsselungsstatus der aktuellen Verbindung", + "props": [ + { + "name": "alt-identifier", + "value": "8e35ba9c-0926-4cef-bd95-ec79933a6ee2" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "1" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.12.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Webbrowser" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine Anzeige der Verschlüsselung der aktuellen Verbindung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für Webbrowser SOLLTE eine Anzeige der Verschlüsselung der aktuellen Verbindung aktivieren." + }, + { + "id": "KONF.12.2_gdn", + "name": "guidance", + "prose": "Die Anzeige der Verschlüsselung der aktuellen Verbindung im Webbrowser, auch bekannt als Connection Encryption Indicator oder oft durch ein 🔒-Symbol dargestellt, ist ein essenzielles Merkmal für die Wahrnehmung der Vertrauenswürdigkeit einer Online-Kommunikation. Sie visualisiert, ob die Datenübertragung zwischen dem Browser des Benutzers und dem Webserver mittels eines kryptografischen Protokolls, typischerweise Transport Layer Security (TLS) (früher Secure Sockets Layer (SSL)), abgesichert ist. Diese Vorschrift zielt darauf ab, das Risiko des Abhörens von Daten durch Dritte (Eavesdropping) zu minimieren; denn ohne diese Anzeige könnte ein Benutzer unbemerkt sensible Informationen über eine ungesicherte Verbindung eingeben, was beispielsweise zur Kompromittierung von Anmeldedaten oder vertraulichen Geschäftsinformationen führen könnte." + } + ] + }, + { + "id": "KONF.12.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Cookies", + "props": [ + { + "name": "alt-identifier", + "value": "77690b80-cd45-47dd-9540-b8de5d67cbbe" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.12.3_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Webbrowser" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Cookies" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "einschränken" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für Webbrowser SOLLTE Cookies einschränken." + }, + { + "id": "KONF.12.3_gdn", + "name": "guidance", + "prose": "Cookies sind Dateien, in denen Webseiten Daten auf dem System speichern. Sie können Authentifizierungstoken und andere personenbezogene Daten enthalten und durch Angriffe wie Cross-Site-Scripting (XSS) oder Session Hijacking kompromittiert werden. Die Speicherung von Cookies per Default auszuschalten könnte jedoch zu Funktionseinschränkungen führen. Nutzende oder Administrierende können Ausnahmen für bestimmte Webseiten, z.B. im Intranet, hinzufügen." + } + ] + }, + { + "id": "KONF.12.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Speicherung von Zugangsdaten", + "params": [ + { + "id": "konf.12.4-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "93d5129d-c905-439f-b7cf-2ddcd92fac5a" + } + ], + "label": "in einem dedizierten Passwort-Manager mit Browser-Integration oder direkt im Browser durch ein Master-Passwort geschützt" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "93d5129d-c905-439f-b7cf-2ddcd92fac5a" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung, Cryptography" + } + ], + "parts": [ + { + "id": "KONF.12.4_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Webbrowser" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Speicherung von Zugangsdaten {{in einem dedizierten Passwort-Manager mit Browser-Integration oder direkt im Browser durch ein Master-Passwort geschützt}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für Webbrowser SOLLTE die Speicherung von Zugangsdaten {{ insert: param, konf.12.4-prm1 }} aktivieren." + }, + { + "id": "KONF.12.4_gdn", + "name": "guidance", + "prose": "Werden Zugangsdaten gespeichert, so könnten Angreifer diese auslesen und missbrauchen. Daher ist es wichtig, Vertraulichkeit und Integrität sensibler Anmeldedaten zu gewährleisten. Durch die Nutzung einer geprüften Browser‑Extension kann sichergestellt werden, dass Passwörter nur in einem verschlüsselten Vault abgelegt werden, der zentral verwaltet oder versioniert wird. Ein starkes Master‑Passwort kann als Schlüssel dienen, sodass selbst bei Verlust des Geräts oder unautorisiertem Zugriff auf die lokale Datenbank die Daten ohne Kenntnis dieses Passworts nicht lesbar sind. Wird die Funktion komplett deaktiviert, kann das Risiko unkontrollierter Speicherung oder unsicherer Autovervollständigung minimiert werden – der Anwender kann sich stattdessen etwa auf einen externen Manager oder eine Single‑Sign‑On‑Lösung verlassen. Konkret kann dies in der Praxis auf verschiedene Weisen aussehen: So kann eine Institution über Gruppenrichtlinien festlegen, dass nur eine offiziell freigegebene Extension (etwa einer Open‑Source‑Lösung oder eines kommerziellen Anbieters) installiert werden darf. Alternativ lassen sich browserinterne Passwort‑Speicher mit einem Master‑Passwort verschlüsseln – denkbar ist hier sowohl die Nutzung integrierter Funktionen von Browsern mit zuverlässiger Krypto‑Engine als auch externer Tools wie plattformübergreifende Passwort‑Manager, die eine Browser‑Anbindung per Plugin bieten. In Szenarien mit besonders hohen Sicherheitsanforderungen kann die Speicherung ganz deaktiviert werden, etwa indem das entsprechende Feature per Policy abgeschaltet wird und Nutzer gezielt mit einem eigenständigen, von der Institution kontrollierten Tool arbeiten. Für die Umsetzung bietet es sich an, zunächst eine klare Richtlinie zu formulieren, die alle Mitarbeitenden über die zugelassenen Speicherwege informiert und gleichzeitig erklärt, warum unautorisierte Methoden unerwünscht sein können. IT‑Administratoren können über zentrale Management‑Werkzeuge (GPOs, MDM‑Systeme) die Installation autorisierter Extensions automatisieren und unerwünschte Funktionen deaktivieren. Es kann hilfreich sein, standardisierte Vorlagen für sichere Master‑Passwörter zu kommunizieren und regelmäßige Schulungen anzubieten, in denen der Umgang mit dem Passwort‑Manager, das Prüfen der Passwortstärke und das Einspielen von Updates erklärt werden. Schließlich kann eine optionale Passwort‑Auditing‑Funktion im Manager eingesetzt werden, mit der Nutzer Schwachstellen in ihren Passwörtern erkennen und verbessern können – so bleibt die gesamte Passwortlandschaft im Unternehmen übersichtlich und sicher." + } + ] + }, + { + "id": "KONF.12.5", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Auto-Vervollständigung von Daten", + "props": [ + { + "name": "alt-identifier", + "value": "884ebdea-7054-48bf-932a-bb4f704baa8e" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung, Phishing, Data Leak" + } + ], + "parts": [ + { + "id": "KONF.12.5_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Webbrowser" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Auto-Vervollständigung von Daten" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "einschränken" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für Webbrowser SOLLTE die Auto-Vervollständigung von Daten einschränken." + }, + { + "id": "KONF.12.5_gdn", + "name": "guidance", + "prose": "Webseiten können Eingaben auch auslesen, bevor diese abgesendet werden. Die Deaktivierung der Auto-Vervollständigung verhindert, dass der Browser diese Daten automatisch eingibt." + } + ] + }, + { + "id": "KONF.12.6", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Browser-Historie", + "props": [ + { + "name": "alt-identifier", + "value": "1eb77ea1-1c97-4027-9098-a874951b0f47" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.12.6_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Webbrowser" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die dauerhafte Browser-Historie" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "deaktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Konfiguration für Webbrowser KANN die dauerhafte Browser-Historie deaktivieren." + }, + { + "id": "KONF.12.6_gdn", + "name": "guidance", + "prose": "Kann durch das Löschen der Historie beim Beenden oder durch Deaktivierung der Historie umgesetzt werden." + } + ] + }, + { + "id": "KONF.12.7", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Erweiterte Attribute", + "props": [ + { + "name": "alt-identifier", + "value": "7ec374a6-4efc-45a4-b596-4e8fc1402daf" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "1" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.12.7_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Dateiserver" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "erweiterte Attribute" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für Dateiserver SOLLTE erweiterte Attribute aktivieren." + }, + { + "id": "KONF.12.7_gdn", + "name": "guidance", + "prose": "Erweiterte Attribute ermöglichen die Speicherung von Metadaten zu Dateien zur Speicherung von Zugriffsrechten und Statusindikatoren. Kann unter Linux durch Samba mit Extended Attributes und unter Windows durch Nutzung des NTFS-Dateisystems umgesetzt werden." + } + ] + }, + { + "id": "KONF.12.8", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Teilnahme per Default ohne Bild und Ton", + "props": [ + { + "name": "alt-identifier", + "value": "bbea53dc-e082-4ac7-80f7-a25e0bf04a76" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "1" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.12.8_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "VK-Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Bild und Ton per Default" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "deaktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für VK-Anwendungen SOLLTE Bild und Ton per Default deaktivieren." + }, + { + "id": "KONF.12.8_gdn", + "name": "guidance", + "prose": "Eine Konfiguration, bei der die Standardeinstellung (per default) für Bild und Ton deaktiviert ist, bedeutet, dass Nutzerinnen und Nutzer die Videokonferenz-Anwendungen (VK-Anwendungen) betreten, ohne dass ihre Kamera und ihr Mikrofon automatisch eingeschaltet sind. Diese Voreinstellung minimiert das Risiko, dass sensible oder private Informationen unbeabsichtigt geteilt werden. Einem Vorfall, bei dem vertrauliche Gespräche im Hintergrund unfreiwillig übertragen werden, könnte so effektiv vorgebeugt werden. Die Institution kann dadurch das Risiko unbeabsichtigter Datenexposition minimieren, indem die Kontrolle über die Aktivierung von Bild und Ton explizit bei den Nutzenden bleibt. Um diese Anforderung umzusetzen, kann die Institution die technischen Einstellungen in der Verwaltungs- oder Admin-Konsole der jeweiligen Anwendung anpassen, um die Standardwerte für alle Teilnehmenden zu ändern. Ebenfalls kann eine technische Richtlinie implementiert werden, die sicherstellt, dass die Applikation vor dem Start eines Meetings eine Checkliste anzeigt, die die Nutzenden explizit auffordert, Kamera und Mikrofon bewusst zu aktivieren." + } + ] + }, + { + "id": "KONF.12.9", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Information über Aufzeichnung", + "props": [ + { + "name": "alt-identifier", + "value": "46dd3e73-e1d5-4dee-9312-d52e9bb5c631" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "1" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.12.9_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "VK-Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine Anzeige laufender Aufzeichnungen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "für alle Teilnehmenden" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für VK-Anwendungen SOLLTE eine Anzeige laufender Aufzeichnungen für alle Teilnehmenden aktivieren." + }, + { + "id": "KONF.12.9_gdn", + "name": "guidance", + "prose": "Heimliche Aufzeichnungen verletzen die Vertraulichkeit der Kommunikation. Eine Aufzeichnung von Wort und Bild ohne den Willen der Aufgezeichneten kann zudem eine Persönlichkeitsrechtsverletzung bis hin zur Straftat (§ 201 StGB) darstellen. Dies gilt auch für Aufzeichnungen, die KI-gestützt ausgewertet werden. Falls die Möglichkeit zur Aufzeichnung deaktiviert ist, so ist diese Anforderung ebenfalls erfüllt." + } + ] + }, + { + "id": "KONF.12.10", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Cookie-Attribute", + "props": [ + { + "name": "alt-identifier", + "value": "4ac2fe69-5f2d-47d8-acf7-2be1485f9f37" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.12.10_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Webanwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Cookie-Attribute" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für Webanwendungen SOLLTE Cookie-Attribute aktivieren." + }, + { + "id": "KONF.12.10_gdn", + "name": "guidance", + "prose": "\"Secure\" erzwingt die verschlüsselte HTTPS-Übertragung, wodurch Man-in-the-middle-Angriffe verhindert werden. \"SameSite\" sorgt dafür, dass Cookies nur zurückgesendet werden, wenn die Anfrage von der ursprünglichen Seite stammt. Hierdurch werden Cross-Site-Request-Forgery-Angriffe erschwert. \"HttpOnly\" verbietet es Client-seitigen Skripten auf das Cookie zuzugreifen, wodurch Cross-Site Scripting (XSS) erschwert wird." + } + ] + }, + { + "id": "KONF.12.11", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Anonyme oder Pseudonyme Kommunikation", + "params": [ + { + "id": "konf.12.11-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "a06eca6b-f142-4808-b04d-c19adf178db4" + } + ], + "label": "eines Pseudonyms oder gar keiner Anzeigekennung" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "a06eca6b-f142-4808-b04d-c19adf178db4" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.12.11_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "TK-Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Übermittlung {{eines Pseudonyms oder gar keiner Anzeigekennung}}" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "zur Gegenstelle" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Konfiguration für TK-Anwendungen KANN die Übermittlung {{ insert: param, konf.12.11-prm1 }} zur Gegenstelle aktivieren." + }, + { + "id": "KONF.12.11_gdn", + "name": "guidance", + "prose": "Wenn eine persönliche Identifikation von Kommunikationspartnern erforderlich ist, ist eine Verschleierung von Erreichbarkeiten sinnvoll. In der klassischen Telefonie kann hierfür die Rufnummerunterdrückung für ausgehende Anrufe (CLIR) oder eine Pseudonymisierung, z.B. durch Übermittlung der 0 statt der Nebenstelle, genutzt werden. Für die Verschleierung der Netzquelle können Proxy-Server oder Anonymisierungsgateways genutzt werden. Für weitere Details siehe \"Kompendium für organisationsinterne Telekommunikationssysteme mit erhöhtem Schutzbedarf\"." + } + ] + }, + { + "id": "KONF.12.12", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Verbindungsprotokoll", + "props": [ + { + "name": "alt-identifier", + "value": "31191a30-d1fd-4adf-a407-35e4fc782e79" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.12.12_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "TK-Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "ein für Nutzende verfügbares Verbindungsprotokoll" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "protokollieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für TK-Anwendungen SOLLTE ein für Nutzende verfügbares Verbindungsprotokoll protokollieren." + }, + { + "id": "KONF.12.12_gdn", + "name": "guidance", + "prose": "Ein solches Protokoll, oft auch als Call Detail Record (CDR) oder Connection Log bezeichnet, dokumentiert für Nutzende nachvollziehbar die Kommunikationsverbindungen, die sie über die Anwendung herstellen. Das Protokoll könnte dabei erfassen, wann eine Verbindung aufgebaut wurde, wie lange sie bestand, mit wem sie stattfand (z.B. die Rufnummer oder der Benutzername der Gegenstelle) und aus welcher Richtung (ein- oder ausgehend) sie kam. In der klassischen Telefonie ist dies die Auflistung der zuletzt ein- oder ausgehenden Anrufe. Eine solche Protokollierung kann als wichtige Maßnahme der Rechenschaftspflicht oder Accountability dienen. Durch die lückenlose Protokollierung der Aktivitäten der Nutzenden kann transparent nachvollzogen werden, welche Verbindungen zu welchem Zeitpunkt hergestellt wurden. Dies kann dabei helfen, ungewöhnliche oder nicht autorisierte Kommunikationsversuche zu erkennen und die Integrität der genutzten Systeme zu wahren. Ohne ein solches Protokoll könnte eine unberechtigte Nutzung oder ein Datenabfluss aus dem internen Netzwerk unentdeckt bleiben. Hierbei besteht ein enger Zusammenhang mit Compliance-Verpflichtungen zur Aufbewahrung und Löschung von Telekommunikationsdaten." + } + ] + }, + { + "id": "KONF.12.13", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Sendebericht", + "props": [ + { + "name": "alt-identifier", + "value": "0ef855ab-834e-405e-99f4-a1bca3f09d15" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.12.13_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Faxe" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "einen Sendebericht" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "protokollieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für Faxe SOLLTE einen Sendebericht protokollieren." + }, + { + "id": "KONF.12.13_gdn", + "name": "guidance", + "prose": "Ein Sendebericht ermöglicht es bei der Verwendung von Faxen nachzuweisen, dass das Fax tatsächlich an die Gegenstelle versendet wurde. Für einen rechtssicheren Nachweis ist es sinnvoll, wenn der Sendebericht außerdem weitere Angaben wie die versendete Seitenzahl, eine Vorschau der ersten Seite odes des gesamten Inhaltes, sowie den Status mit dem die Verbindung beendet wurde (z.B. OK) beinhaltet." + } + ] + }, + { + "id": "KONF.12.14", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "DNS-Falschinformationen", + "props": [ + { + "name": "alt-identifier", + "value": "d3856d40-5869-4b06-812b-4cc966f96d80" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.12.14_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "DNS-Server" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "DNS-Antworten, die falsche Domain-Informationen liefern," + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "deaktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für DNS-Server SOLLTE DNS-Antworten, die falsche Domain-Informationen liefern, deaktivieren." + }, + { + "id": "KONF.12.14_gdn", + "name": "guidance", + "prose": "Falsch sind Domain-Informationen, wenn sie nicht der tatsächlichen Erreichbarkeit des Zieles entsprechen, sondern z.B. auf Werbeseiten umleiten. DNS-Server, die falsche Antworten liefern, können zu unerwarteten Fehlern in Anwendungen oder zum DNS-Hijacking führen. Sie sind an unerwarteten Websites, Zertifikatsfehlern oder mit DNS-Prüfsoftware zu erkennen. Gilt sowohl für die Konfiguration des eigenen Servers, als auch für die verwendeten DNS Upstream Server." + } + ] + } + ] + }, + { + "id": "KONF.13", + "title": "Senden und Empfangen von Nachrichten", + "props": [ + { + "name": "label", + "value": "13" + }, + { + "name": "alt-identifier", + "value": "268f6bca-9550-461a-85a5-7da7908fb95c" + } + ], + "controls": [ + { + "id": "KONF.13.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Filtern schädlicher Nachrichten", + "props": [ + { + "name": "alt-identifier", + "value": "0571ae85-f5f8-485c-b3d7-44f8ddfa2d58" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung, Phishing" + } + ], + "parts": [ + { + "id": "KONF.13.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Interpersonelle Kommunikation" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine Filterung schädlicher Nachrichteninhalte" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für Interpersonelle Kommunikation SOLLTE eine Filterung schädlicher Nachrichteninhalte aktivieren." + }, + { + "id": "KONF.13.1_gdn", + "name": "guidance", + "prose": "Unter Filterung schädlicher Nachrichteninhalte versteht man Verfahren, die Inhalte automatisch prüfen und unerwünschte, gefährliche oder manipulative Bestandteile erkennen, blockieren oder kennzeichnen können. Der Sinn dieser Vorgabe liegt darin, potenziell gefährliche Inhalte wie Phishing-Versuche, schadhaften Code oder gezielte Desinformation frühzeitig abzufangen. Ohne eine solche Filterung könnte Schadsoftware über Anhänge eingeschleust werden oder Mitarbeitende könnten durch manipulierte Links zu vertraulichen Datenabgaben verleitet werden. Mit einer wirksamen Filterung kann die Angriffsfläche reduziert, das Vertrauen in die Kommunikationskanäle erhöht und die Produktivität geschützt werden. Zur Umsetzung kann eine Institution technische Maßnahmen kombinieren: (1) E-Mail-Gateways oder Chat-Schnittstellen können mit Inhaltsfiltern ausgestattet werden, die bekannte Malware-Signaturen, verdächtige Links oder gefährliche Dateitypen erkennen. (2) Ergänzend kann heuristische Analyse und maschinelles Lernen eingesetzt werden, um Muster verdächtiger Inhalte zu identifizieren, auch wenn diese noch nicht in Signaturdatenbanken enthalten sind. (3) Regeln zur Blockierung bestimmter Dateianhänge (z. B. ausführbare Dateien) können eingerichtet werden, während sichere Alternativen für den Austausch bereitgestellt werden. (4) Schließlich kann ein klarer Prozess vorgesehen werden, um falsch-positive Erkennungen manuell zu prüfen und legitime Kommunikation wieder freizugeben." + } + ], + "controls": [ + { + "id": "KONF.13.1.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "SPAM-Filter", + "props": [ + { + "name": "alt-identifier", + "value": "ee57e250-bed1-484e-9ff7-8b7750562877" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.13.1.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Interpersonelle Kommunikation" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Zustellung unerwünschter Nachrichten" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "blockieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für Interpersonelle Kommunikation SOLLTE die Zustellung unerwünschter Nachrichten blockieren." + }, + { + "id": "KONF.13.1.1_gdn", + "name": "guidance", + "prose": "Unter Zustellung unerwünschter Nachrichten ist das Blockieren oder Filtern von Spam, Phishing-Versuchen, Social-Engineering-Nachrichten oder belästigender Kommunikation zu verstehen. Diese Anforderung zielt darauf ab, die Integrität der Kommunikationskanäle zu wahren und das Risiko von Sicherheits- oder Vertrauensbrüchen zu reduzieren. Ohne geeignete Filtermechanismen könnte Schadsoftware per Anhang eingeschleust werden, sensible Informationen könnten durch täuschend echte Phishing-Nachrichten abgegriffen werden oder Mitarbeitende könnten durch gezielte Belästigungen in ihrer Arbeitsfähigkeit eingeschränkt werden. Zur Umsetzung kann eine Institution verschiedene Ansätze kombinieren: (1) Der Einsatz serverseitiger Filtermechanismen auf Mail-Gateways oder Collaboration-Plattformen kann zentral die meisten unerwünschten Nachrichten aussortieren. (2) Ergänzend können clientseitige Filterregeln aktiviert werden, die Benutzern zusätzliche Möglichkeiten zur Sortierung bieten, etwa über Whitelists und Blacklists. Praktisch kann es auch hilfreich sein, Quarantäneordner einzurichten, damit Anwender verdächtige Nachrichten selbständig einsehen und fälschlich blockierte Nachrichten zurückholen können." + } + ] + }, + { + "id": "KONF.13.1.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Interpretation aktiver Inhalte", + "props": [ + { + "name": "alt-identifier", + "value": "ecc5b98d-eb77-4902-a01a-a5348ecba8f0" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.13.1.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Interpersonelle Kommunikation" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die automatische Interpretation aktiver Inhalte" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "deaktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für Interpersonelle Kommunikation SOLLTE die automatische Interpretation aktiver Inhalte deaktivieren." + }, + { + "id": "KONF.13.1.2_gdn", + "name": "guidance", + "prose": "Unter aktiven Inhalten sind hier Elemente zu verstehen, die beim Empfang automatisch ausgeführt oder interpretiert werden könnten, wie z. B. eingebettete Skripte in E-Mails, dynamische Makros in Dokumenten oder der automatische Download von externen Bildern in Chat-Nachrichten. Hintergrund ist, dass eine empfangene Nachricht nicht nur reinen Text oder statische Informationen enthalten könnte, sondern zusätzliche versteckte Anweisungen, die beim Anzeigen sofort wirken. Ein typischer Vorfall könnte etwa sein, dass eine Mitarbeiterin eine HTML-E-Mail öffnet, die ein eingebettetes JavaScript enthält und dadurch unbemerkt Zugangsdaten abgegriffen werden. Durch Deaktivieren solcher Inhalte wird verhindert, dass Schadcode automatisch ausgeführt wird. Dies betrifft sowohl Inhalte in Freitext-Datenfeldern als auch an die Nachricht angehängte Dateien. Beispielsweise kann in Mail-Clients die Ausführung von Makros deaktiviert, die Darstellung externer Inhalte blockiert oder das Rendern von Skripten untersagt werden. Ebenso kann bei Messaging-Diensten die Anzeige von aktiven Inhalten durch Filter eingeschränkt werden, sodass nur reiner Text oder geprüfte Anhänge angezeigt werden. Ergänzend kann es hilfreich sein, benutzerseitige Tipps wie das standardmäßige Verwenden einer Nur-Text-Ansicht oder die klare Kennzeichnung von blockierten Inhalten zu etablieren. Institutionen können durch regelmäßige Konfigurationsprüfungen sicherstellen, dass Änderungen durch Updates oder neue Versionen die Deaktivierung nicht unbemerkt wieder aufheben." + } + ] + } + ] + }, + { + "id": "KONF.13.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Authentizität von Nachrichten", + "props": [ + { + "name": "alt-identifier", + "value": "04eaf9de-736e-4dfc-898e-04dc85fa36f0" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.13.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Interpersonelle Kommunikation" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine automatische Verifikation der Authentizität von Nachrichten" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für Interpersonelle Kommunikation SOLLTE eine automatische Verifikation der Authentizität von Nachrichten aktivieren." + }, + { + "id": "KONF.13.2_gdn", + "name": "guidance", + "prose": "Die Authentizität von Nachrichten bezeichnet in diesem Zusammenhang die nachweisbare Echtheit und Unverfälschtheit einer digitalen Mitteilung im Rahmen der interpersonellen Kommunikation, also die Sicherheit, dass eine Nachricht tatsächlich von der angegebenen Quelle stammt und auf dem Übertragungsweg nicht manipuliert wurde. Im Fachjargon wird hier häufig von Message Authenticity oder auch von Origin Authentication gesprochen, wobei beide Begriffe eng mit kryptographischen Verfahren wie Digital Signatures oder Message Authentication Codes (MACs) verbunden sind. Der Sinn dieser Anforderung liegt darin, sicherzustellen, dass Angreifer keine falschen Identitäten vortäuschen oder den Inhalt von Nachrichten unbemerkt verändern können. Andernfalls könnte etwa eine gefälschte Anweisung in einem Chat zu Fehlhandlungen führen oder ein manipuliertes Dokument im E-Mail-Verkehr falsche Entscheidungen auslösen. Eine automatische Verifikation kann hingegen das Vertrauen in die Integrität und Herkunft der Kommunikation gewährleisten. Zur Umsetzung kann eine Institution beispielsweise digitale Signaturen einsetzen, die durch etablierte Standards wie S/MIME oder OpenPGP realisiert werden können, sodass E-Mail-Programme die Echtheit automatisch überprüfen. Auch der Einsatz von Ende-zu-Ende-Verschlüsselung mit eingebauter Authentizitätsprüfung, etwa bei Protokollen wie Signal Protocol oder TLS mit Client-Zertifikaten, kann eine geeignete Maßnahme sein. Darüber hinaus kann die Integration einer zentralen Public Key Infrastructure (PKI) oder die Nutzung verteilter Vertrauensmodelle (z. B. Web of Trust) sicherstellen, dass Schlüsselpaare zuverlässig verwaltet werden und Anwender ohne manuelle Prüfungen von Zertifikaten auskommen." + } + ], + "controls": [ + { + "id": "KONF.13.2.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Verifikation der Sendeberechtigung", + "props": [ + { + "name": "alt-identifier", + "value": "c163be1f-8236-439c-a1d1-34fa7472c06a" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.13.2.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "E-Mail" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine automatische Verifikation der Sendeberechtigung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für E-Mail SOLLTE eine automatische Verifikation der Sendeberechtigung aktivieren." + }, + { + "id": "KONF.13.2.1_gdn", + "name": "guidance", + "prose": "Mit dem Sender Policy Framework (SPF) kann geprüft werden, ob der Sender zum Versand von E-Mails für diese Mailadresse berechtigt war. E-Mails ohne SPF-Header sind unzureichend authentifiziert, so dass sie leicht für Spoofing oder Phishing missbraucht werden können. Allerdings werden noch immer E-Mails ohne SPF verschickt, so dass eine Blockierung zu funktionalen Einschränkungen führen könnte. Kompromissmaßnahmen können z.B. die Markierung der E-Mail mit einem Warnhinweis , Allowlisting, Greylisting, Quarantäne oder eine Filterung durch Anomalieerkennung sein." + } + ] + }, + { + "id": "KONF.13.2.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Verifikation der Serversignatur", + "props": [ + { + "name": "alt-identifier", + "value": "2e782128-57ea-4573-a44e-5538d0dd1240" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.13.2.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "E-Mail" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Serversignatur eingehender E-Mails" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "automatisch" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "authentifizieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für E-Mail SOLLTE die Serversignatur eingehender E-Mails automatisch authentifizieren." + }, + { + "id": "KONF.13.2.2_gdn", + "name": "guidance", + "prose": "Die DKIM-Signatur ist zu unterscheiden von einer PGP-Signatur, die in der Regel nicht automatisch vergeben wird. E-Mails ohne DKIM sind unzureichend authentifiziert, so dass sie leicht für Spoofing oder Phishing missbraucht werden können. Allerdings werden noch immer E-Mails ohne DKIM verschickt, so dass eine Blockierung zu funktionalen Einschränkungen führen könnte. Kompromissmaßnahmen können z.B. die Markierung der E-Mail mit einem Warnhinweis , Allowlisting, Greylisting, Quarantäne oder eine Filterung durch Anomalieerkennung sein. Die Formulierung \"im Einklang mit den Festlegungen des Identitäts- und Berechtigungsmanagements\" bedeutet, dass die Authentifizierung so erfolgt, wie in der Praktik IDM festgelegt. Hierzu gehört insbesondere die Verwendung aktueller kryptographischer Verfahren, wie sie im Thema Kryptographie zu finden ist." + } + ] + } + ] + }, + { + "id": "KONF.13.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Kryptographische Signatur des Mailservers", + "props": [ + { + "name": "alt-identifier", + "value": "0588d640-bda0-46d7-978e-6c742f098327" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung, Cryptography" + } + ], + "parts": [ + { + "id": "KONF.13.3_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "E-Mail" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Kryptographische Signatur des Mailservers" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für E-Mail SOLLTE die Kryptographische Signatur des Mailservers aktivieren." + }, + { + "id": "KONF.13.3_gdn", + "name": "guidance", + "prose": "Die kryptographischen Signatur des Mailservers ist ein digitaler Stempel des versendenden Mailservers selbst, mit dem die Authentizität des sendenden Mailservers belegt wird. Ein bekannter technischer Standard hierfür ist DomainKeys Identified Mail (DKIM). Diese Signatur wird durch den absendenden Mailserver (oder einen vorgeschalteten Dienst) unter Verwendung eines privaten kryptographischen Schlüssels erzeugt. Der Empfänger kann die Signatur mit einem öffentlich zugänglichen Schlüssel, der typischerweise im Domain Name System (DNS) der sendenden Domain hinterlegt ist, verifizieren. Diese Schutzmaßnahme kann die Glaubwürdigkeit der E-Mails erhöhen und trägt zur Prävention von Risiken bei, wie dem Spoofing des Absenders: Ein Angreifer könnte ohne eine solche Signatur die Identität der Institution vortäuschen, was zu Phishing-Vorfällen führen könnte." + } + ] + }, + { + "id": "KONF.13.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Kryptographische Signatur durch Nutzende", + "props": [ + { + "name": "alt-identifier", + "value": "8cda47f9-692a-485d-bc73-a4c3b691c501" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung, Cryptography" + } + ], + "parts": [ + { + "id": "KONF.13.4_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "E-Mail" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die kryptographische Signatur durch Nutzende" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Konfiguration für E-Mail KANN die kryptographische Signatur durch Nutzende aktivieren." + }, + { + "id": "KONF.13.4_gdn", + "name": "guidance", + "prose": "Wird eine vom E-Mail vom Sendenden signiert, so können bei Empfang die Authentizität und Integrität der Nachricht verifiziert werden. Dies kann mit S/MIME oder PGP umgesetzt werden." + } + ] + }, + { + "id": "KONF.13.5", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Publikation der Sendeberechtigung", + "props": [ + { + "name": "alt-identifier", + "value": "4eedf96c-42cf-4d3e-902f-f3efce1f533a" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.13.5_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "E-Mail" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Publikation der eigenen Sendeberechtigung im DNS" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für E-Mail SOLLTE die Publikation der eigenen Sendeberechtigung im DNS aktivieren." + }, + { + "id": "KONF.13.5_gdn", + "name": "guidance", + "prose": "Dies wird typischerweise über spezielle DNS-Einträge wie den Sender Policy Framework (SPF) realisiert. Damit kann eine Institution im DNS festlegen, welche Mail-Server berechtigt sind, E-Mails im Namen ihrer Domäne zu versenden. Ein entsprechender DNS-Eintrag, der sogenannte SPF-Record, ermöglicht es empfangenden Mail-Servern, die Absender-Adresse einer eingehenden E-Mail zu überprüfen. Dies kann die Schutzwirkung gegen gängige Risiken wie E-Mail-Spoofing verbessern, bei dem sich ein Angreifer als legitimer Absender ausgibt, um die Empfänger zu täuschen. Ohne eine solche Konfiguration könnte ein Angreifer beispielsweise E-Mails mit gefälschter Absenderadresse verschicken, die scheinbar von der Geschäftsleitung stammen, um einen Nutzer zur Herausgabe von sensiblen Informationen zu verleiten (Phishing). Durch die Aktivierung von SPF kann das Risiko verringert werden, dass solche bösartigen Nachrichten die Postfächer von Nutzern erreichen. Es ist wichtig, den Eintrag sorgfältig zu erstellen, um alle legitimen Absender abzudecken, einschließlich Diensten von Drittanbietern. Ein häufiger Fehler ist, dass nicht alle autorisierten Mail-Server korrekt gelistet sind, was dazu führen könnte, dass legitime E-Mails fälschlicherweise als Spam markiert werden." + } + ], + "controls": [ + { + "id": "KONF.13.5.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Strenge Senderpolicy", + "props": [ + { + "name": "alt-identifier", + "value": "b44ec8f5-20f7-43ad-94a6-545a12cc7a67" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.13.5.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "E-Mail" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine strenge Senderpolicy" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für E-Mail SOLLTE eine strenge Senderpolicy aktivieren." + }, + { + "id": "KONF.13.5.1_gdn", + "name": "guidance", + "prose": "Ein strenger Senderpolicy-Eintrag, auch \"hard fail\" (-all) genannt, weist empfangende Mailserver an, E-Mails, die von nicht autorisierten Servern stammen, zurückzuweisen oder als Spam zu markieren. Dies kann das Risiko von Phishing-Angriffen erheblich reduzieren, bei denen Angreifer versuchen, sich als vertrauenswürdige Institutionen auszugeben. Eine solche Konfiguration kann auch Spoofing verhindern, bei dem die Absenderadresse gefälscht wird, was dazu führen könnte, dass Kunden oder Mitarbeiter betrügerischen Anweisungen folgen, die scheinbar von der Institution selbst stammen. Zur Umsetzung einer strengen Senderpolicy kann die Institution sicherstellen, dass sie einen SPF-Eintrag in ihren DNS-Einstellungen hinterlegt. Dieser Eintrag sollte alle autorisierten Server explizit auflisten und mit dem \"-all\" Mechanismus enden, um eine strikte Ablehnung nicht konformer E-Mails zu signalisieren." + } + ] + } + ] + }, + { + "id": "KONF.13.6", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Publikation der Serversignatur", + "props": [ + { + "name": "alt-identifier", + "value": "faf3fea5-b891-4d47-a2f7-74756b02a668" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.13.6_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "E-Mail" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Publikation der Serversignatur" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "im DNS" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für E-Mail SOLLTE die Publikation der Serversignatur im DNS aktivieren." + }, + { + "id": "KONF.13.6_gdn", + "name": "guidance", + "prose": "Eine Serversignatur, auch bekannt als DKIM (DomainKeys Identified Mail), ist eine kryptografische Signatur, die der E-Mail-Dienst der Institution an jede ausgehende Nachricht anhängt. Sie stellt sicher, dass die E-Mail tatsächlich von der angegebenen Domain gesendet wurde und während der Übertragung nicht manipuliert wurde. Ohne diese Signatur könnte ein Angreifer E-Mails im Namen der Institution versenden (E-Mail-Spoofing), was zu Phishing-Angriffen, dem Diebstahl von Zugangsdaten oder der Verbreitung von Malware führen könnte. Das Aktivieren der Publikation im DNS bedeutet, den öffentlichen Teil dieses kryptografischen Schlüssels im Domain Name System (DNS) der Domain zu veröffentlichen. Empfangende E-Mail-Server können diesen öffentlichen Schlüssel verwenden, um die Signatur der E-Mail zu verifizieren und somit deren Echtheit zu bestätigen. Zur Umsetzung kann die Institution E-Mail-Server-Software so konfigurieren, dass sie DKIM-Signaturen automatisch zu ausgehenden Nachrichten hinzufügt. Dies kann oft durch die Installation und Konfiguration von speziellen DKIM-Filter-Plugins erreicht werden." + } + ] + }, + { + "id": "KONF.13.7", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "TLS-Reports", + "params": [ + { + "id": "konf.13.7-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "becbeefc-417d-42e4-b2a0-7a296c23fa9c" + } + ], + "label": "regelmäßig" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "becbeefc-417d-42e4-b2a0-7a296c23fa9c" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.13.7_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "E-Mail" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "TLS-Reports" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{regelmäßig}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überprüfen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Konfiguration für E-Mail KANN TLS-Reports {{ insert: param, konf.13.7-prm1 }} überprüfen." + }, + { + "id": "KONF.13.7_gdn", + "name": "guidance", + "prose": "TLS-Reports, auch TLS-RPT (Transport Layer Security Reporting) genannt, sind Berichte, mit denen Betreiber von Mailservern einander Probleme beim E-Mail-Versand über TLS melden können. Sie können Informationen zu Verbindungsproblemen und möglichen Sicherheitsproblemen enthalten. Hierzu kann TLS-RPT (Transport Layer Security Reporting) genutzt werden." + } + ] + }, + { + "id": "KONF.13.8", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "DMARC-Reports", + "params": [ + { + "id": "konf.13.8-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "96dd928d-e5ac-47ec-a2a2-320ae0359e73" + } + ], + "label": "regelmäßig oder bei Eingang" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "96dd928d-e5ac-47ec-a2a2-320ae0359e73" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.13.8_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "E-Mail" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "DMARC-Reports" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{regelmäßig oder bei Eingang}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überprüfen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Konfiguration für E-Mail KANN DMARC-Reports {{ insert: param, konf.13.8-prm1 }} überprüfen." + }, + { + "id": "KONF.13.8_gdn", + "name": "guidance", + "prose": "Mit DMARC kann der Empfänger dem Sender automatische Berichte über den DMARC-Status empfangener E-Mails bereitstellen. Diese Berichte liefern Hinweise auf fehlgeschlagene Authentifizierungsprüfungen, Fehlkonfigurationen oder Missbrauchsversuche. Eine automatisierte Auswertung unterstützt dabei, Zustellprobleme frühzeitig zu erkennen und geeignete Korrekturmaßnahmen abzuleiten." + } + ] + }, + { + "id": "KONF.13.9", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Publikation der DMARC-Richtlinie", + "props": [ + { + "name": "alt-identifier", + "value": "b4f12703-f0d8-400d-a979-933d7e29a833" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.13.9_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "E-Mail" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Publikation der DMARC-Richtlinie" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für E-Mail SOLLTE die Publikation der DMARC-Richtlinie aktivieren." + }, + { + "id": "KONF.13.9_gdn", + "name": "guidance", + "prose": "Eine DMARC-Richtlinie legt fest, welchen Umgang sie sich von Empfängern wünschen, die E-Mails von ihrer Domain nicht authentifizieren können. Die Information der Empfänger kann über einen DMARC-Eintrag im DNS erfolgen." + } + ] + }, + { + "id": "KONF.13.10", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Authentifizierung der Server-Zertifikate über DNS", + "props": [ + { + "name": "alt-identifier", + "value": "ee341e2a-290d-4d5f-bf24-c95a265395f6" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.13.10_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "E-Mail" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Authentifizierung der Server-Zertifikate über das DNS" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für E-Mail SOLLTE die Authentifizierung der Server-Zertifikate über das DNS aktivieren." + }, + { + "id": "KONF.13.10_gdn", + "name": "guidance", + "prose": "Die Authentifizierung der Server-Zertifikate über das DNS (Domain Name System) kann die Sicherheit der E-Mail-Kommunikation erheblich steigern. Dabei werden Zertifikatsinformationen in DNS-Einträgen genutzt, um die Echtheit der TLS/SSL-Zertifikate eines E-Mail-Servers zu überprüfen und sicherzustellen, dass man tatsächlich mit dem beabsichtigten Kommunikationspartner spricht. Techniken wie DANE (DNS-based Authentication of Named Entities) oder CAA (Certificate Authority Authorization) nutzen spezifische DNS-Resource Records (wie TLSA oder CAA Records), um entweder die verwendeten Zertifikate oder die autorisierten Zertifizierungsstellen im DNS zu hinterlegen. Dies kann verhindern, dass ein Angreifer eine gefälschte Identität vortäuschen oder eine Man-in-the-Middle-Attacke durchführen könnte, indem er ein nicht autorisiertes oder kompromittiertes Zertifikat präsentiert. Ohne diese zusätzliche Überprüfung könnte ein Angreifer beispielsweise den E-Mail-Verkehr der Institution abfangen und mitlesen, während er sich als der legitime Server ausgibt. Die Aktivierung dieser DNS-basierten Überprüfung kann also die Vertraulichkeit und Integrität der übertragenen E-Mails schützen. Zur Umsetzung werden Informationen über eigene Serverzertifikate im DNS hinterlegt und die Prüfung eingehender E-Mails auf hinterlegte Einträge der sendenden Servers aktiviert." + } + ] + }, + { + "id": "KONF.13.11", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "MTA-STS", + "props": [ + { + "name": "alt-identifier", + "value": "19e81bd5-20d6-41af-b172-5a3859738a62" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.13.11_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "E-Mail" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "MTA-STS" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für E-Mail SOLLTE MTA-STS aktivieren." + }, + { + "id": "KONF.13.11_gdn", + "name": "guidance", + "prose": "Die Mail Transfer Agent Strict Transport Security (MTA-STS) ist ein wichtiger Standard zur Erhöhung der Sicherheit im E-Mail-Verkehr, der die verschlüsselte Zustellung von Nachrichten durch die Erzwingung von Transport Layer Security (TLS) auf der Übertragungsebene gewährleistet. MTA-STS stellt dabei sicher, dass versendende Mail Transfer Agents (MTA) nur verschlüsselte Verbindungen zum Ziel-MTA aufbauen, wodurch Downgrade-Angriffe oder die Umleitung auf unsichere Kanäle wirksam unterbunden werden können. Der Zweck dieser Vorschrift liegt darin, die Vertraulichkeit und Integrität von E-Mail-Inhalten während der Übertragung zu schützen. Ohne MTA-STS könnte ein Angreifer die Kommunikation abfangen und den unverschlüsselten E-Mail-Verkehr mitlesen (Eavesdropping) oder die Nachricht manipulieren, bevor sie den Empfänger erreicht. Die Aktivierung kann das Risiko minimieren, dass E-Mails über unsichere oder unauthentifizierte Verbindungen übertragen werden, selbst wenn die Ziel-Institution TLS unterstützt, was einen robusten Schutz gegen gängige Man-in-the-Middle-Angriffe bietet. Obwohl DNS-Based Authentication of Named Entities (DANE) eine stärkere kryptografische Authentifizierung des TLS-Zertifikats des Ziel-MTA bietet, sollte MTA-STS zusätzlich aktiviert werden, da es eine alternative oder ergänzende Schutzschicht darstellt, falls DANE beim Kommunikationspartner noch nicht implementiert ist oder dessen DNS-Sicherheit (DNSSEC) nicht vertrauenswürdig ist." + } + ] + } + ] + }, + { + "id": "KONF.14", + "title": "Verteilte Anwendungen", + "props": [ + { + "name": "label", + "value": "14" + }, + { + "name": "alt-identifier", + "value": "383c6331-8231-46b9-9605-1338add3335e" + } + ], + "controls": [ + { + "id": "KONF.14.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Verschlüsselung beim Transport", + "params": [ + { + "id": "konf.14.1-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "99806244-514d-43e2-be34-4ac7ab0517ad" + } + ], + "label": "einem anerkannten Standard" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "99806244-514d-43e2-be34-4ac7ab0517ad" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung, Cryptography, Zero Trust" + } + ], + "parts": [ + { + "id": "KONF.14.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Kommunikation beim Transport" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "über Netze nach {{einem anerkannten Standard}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verschlüsseln" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für Anwendungen SOLLTE Kommunikation beim Transport über Netze nach {{ insert: param, konf.14.1-prm1 }} verschlüsseln." + }, + { + "id": "KONF.14.1_gdn", + "name": "guidance", + "prose": "Werden Daten unverschlüsselt übertragen, so könnten sie abgehört oder unbemerkt manipuliert werden. Relevant sind hierbei alle von der Anwendung übertragenen Daten, inklusive Authentifizierung an der Benutzerschnittstelle oder API, Abruf von Daten, Server-Server-Replikation oder zur Datensicherung. Das betrifft sowohl Inhalts- als auch Metadaten. Die Umsetzung kann mit Algorithmen zur Transportverschlüsselung wie Transport Layer Security (TLS) oder Ende-zu-Ende-Verschlüsselung erfolgen. Für aktuelle Verschlüsselungsverfahren siehe BSI TR-02102. Die Konfiguration der Verschlüsselung kann sich daran orientieren, wie lange die transportieren Daten, z.B. Transaktionen, vertraulich zu behandeln sind. Eine Herausforderung hierbei sind Anwendungen, die über allgemeine Anbindungen mit anderen Institutionen kommunizieren, z.B. E-Mails oder Anrufe ins öffentliche Telefonnetz. Diese Anwendungen können nur ihren Teil der Verbindungsstrecke verschlüsseln, so dass der Rest der Strecke und damit die Verbindung an sich dennoch unverschlüsselt sein könnte. Überträgt die Anwendung keine schützenswerten Daten über das Netz, so ist die Anforderung entbehrlich." + } + ], + "controls": [ + { + "id": "KONF.14.1.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Obligatorische Verschlüsselung", + "props": [ + { + "name": "alt-identifier", + "value": "b73c400e-b4f8-494c-ac02-619258f77a2d" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.14.1.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "unverschlüsselte und anfällige Verbindungen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "über Netze" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "deaktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für Anwendungen SOLLTE unverschlüsselte und anfällige Verbindungen über Netze deaktivieren." + }, + { + "id": "KONF.14.1.1_gdn", + "name": "guidance", + "prose": "Obligatorische Verschlüsselung bedeutet, dass die Anwendung ausschließlich nach dem Stand der Technik verschlüsselt kommuniziert. Unverschlüsselte oder mit bekannten Methoden angreifbare Verbindungsanfragen werden dagegen abgelehnt. Die Verwendung obligatorischer Verschlüsselung im Internet ist aktuell sehr uneinheitlich: Viele E-Mail-Server z.B. verschlüsseln im Auslieferungszustand nur opportunistisch - also nur wenn der Verbindungsaufbau so funktioniert. Das macht Verbindungen anfällig für Downgrade-Angriffe. Diese lassen sich verhindern, indem unverschlüsselte Verbindungen vollständig deaktiviert werden. Andererseits kann es dadurch auch zu Verbindungsproblemen mit Servern kommen, die überhaupt keine Verschlüsselung mit aktuellen Protokollen unterstützen. Für aktuelle Verschlüsselungsverfahren siehe BSI TR-02102." + } + ] + }, + { + "id": "KONF.14.1.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Ende-zu-Ende-Verschlüsselung", + "props": [ + { + "name": "alt-identifier", + "value": "3e17d0bd-cdec-4d89-b6a6-b2e018009e8f" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung, Cryptography, Zero Trust" + } + ], + "parts": [ + { + "id": "KONF.14.1.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Kommunikation Ende-zu-Ende" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "über Netze" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verschlüsseln" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Konfiguration für Anwendungen KANN die Kommunikation Ende-zu-Ende über Netze verschlüsseln." + }, + { + "id": "KONF.14.1.2_gdn", + "name": "guidance", + "prose": "Eine Ende-zu-Ende-Verschlüsselung stellt sicher, dass auch Server auf dem Weg zwischen den Endpunkten die Kommunikation nicht auslesen können. Die Unterstützung von Ende-zu-Ende-Verschlüsselung unterscheidet sich zwischen verschiedenen Kommunikationsanwendungen noch immer erheblich: Viele E-Mail-Server verschlüsseln gar nicht oder nur bei Verwendung spezieller Erweiterungen so, während viele Messenger-Apps die Ende-zu-Ende-Verschlüsselung ohne Nutzerinteraktion automatisch erzwingen. Dies kann je nach Anwendung z.B. mittels OpenPGP, S/MIME oder Signal Protocol geschehen. Für aktuelle Verschlüsselungsverfahren siehe BSI TR-02102. Für weitere Details zur Telekommunikation siehe \"Kompendium für organisationsinterne Telekommunikationssysteme mit erhöhtem Schutzbedarf\"." + } + ] + } + ] + }, + { + "id": "KONF.14.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Source Port Randomisierung", + "props": [ + { + "name": "alt-identifier", + "value": "8cf919ad-46cd-4173-9def-7b84abd6f278" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "1" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.14.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "DNS-Server" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Source Port Randomisierung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für DNS-Server SOLLTE Source Port Randomisierung aktivieren." + }, + { + "id": "KONF.14.2_gdn", + "name": "guidance", + "prose": "Die mehrfache Verwendung gleicher Source Ports erleichtert Angreifern das Erraten gültiger Antworten, z. B. bei DNS-Spoofing oder Cache-Poisoning-Angriffen. Sourceport-Randomisierung (IETFC RFC 5452) erhöht die Anzahl möglicher Kombinationen und erschwert derartige Angriffe." + } + ] + }, + { + "id": "KONF.14.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Iterative Beantwortung", + "props": [ + { + "name": "alt-identifier", + "value": "57cb3f3e-bb54-444c-a337-8f098ae085a2" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "1" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.14.3_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "DNS-Server" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die iterative Beantwortung von DNS-Anfragen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "aus dem Internet" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für DNS-Server SOLLTE die iterative Beantwortung von DNS-Anfragen aus dem Internet aktivieren." + }, + { + "id": "KONF.14.3_gdn", + "name": "guidance", + "prose": "Bei iterativen Anfragen kommt die Antwort direkt vom autoritativen Server, statt auf zwischengespeicherte Antworten anderer DNS-Resolver zu vertrauen. Dies reduziert die Angriffsfläche für Cache Poisoning und erschwert DNS-Tunneling zur Datenexfiltration oder Command-and-Control-Kommunikation." + } + ] + }, + { + "id": "KONF.14.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Caching", + "props": [ + { + "name": "alt-identifier", + "value": "f6f85541-a8ed-46ec-a1f7-ea0281519866" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "KONF.14.4_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Anwendungen, Endgeräte" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine Zwischenspeicherung häufig verwendeter Daten" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Konfiguration für Anwendungen von Endgeräten KANN eine Zwischenspeicherung häufig verwendeter Daten aktivieren." + }, + { + "id": "KONF.14.4_gdn", + "name": "guidance", + "prose": "Caches sind lokale Zwischenspeicher, die Zugriffe beschleunigen oder bei Netzstörungen ersetzen können. Kann durch Caching-Funktionen auf dem Client, auf Servern in Außenstellen (z.B. Windows BranchCache, Squid Proxy Cache oder CacheFS) oder Caching auf WAN-Netzkomponenten umgesetzt werden." + } + ] + }, + { + "id": "KONF.14.5", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Zeitüberschreitung von Netzverbindungen", + "props": [ + { + "name": "alt-identifier", + "value": "76f6f959-2505-43b4-9e22-3501e32bc0be" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung, Phishing, Replay Attacks, Session Hijacking" + } + ], + "parts": [ + { + "id": "KONF.14.5_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Netzverbindungen bei Zeitüberschreitung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "blockieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Konfiguration für Anwendungen SOLLTE Netzverbindungen bei Zeitüberschreitung blockieren." + }, + { + "id": "KONF.14.5_gdn", + "name": "guidance", + "prose": "Dauerhaft aufrecht erhaltene, ungenutzte Verbindungen erhöhen die Gefahr unbefugter Zugriffe auf die Anwendung oder eines Überlaufens von Systemressourcen." + } + ] + } + ] + }, + { + "id": "KONF.15", + "title": "Ressourcenauslastung", + "props": [ + { + "name": "label", + "value": "15" + }, + { + "name": "alt-identifier", + "value": "baa36654-e2f4-4556-ad26-d235be35c5b4" + } + ], + "controls": [ + { + "id": "KONF.15.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Begrenzung des Speicherplatzes", + "params": [ + { + "id": "konf.15.1-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "15596e08-6978-4e61-bf6c-63e24575788f" + } + ], + "label": "Zugangskonto oder Mandant" + }, + { + "id": "konf.15.1-prm2", + "props": [ + { + "name": "alt-identifier", + "value": "15596e08-6978-4e61-bf6c-63e24575788f" + } + ], + "label": "Schwellwerten" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "15596e08-6978-4e61-bf6c-63e24575788f" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung, Denial of Service" + } + ], + "parts": [ + { + "id": "KONF.15.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Anwendungen, Hostsysteme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "in der Anwendung zur Verfügung stehenden Speicherplatz pro {{Zugangskonto oder Mandant}}" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "anhand von {{Schwellwerten}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "einschränken" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Konfiguration für Anwendungen von Hostsystemen KANN in der Anwendung zur Verfügung stehenden Speicherplatz pro {{ insert: param, konf.15.1-prm1 }} anhand von {{ insert: param, konf.15.1-prm2 }} einschränken." + }, + { + "id": "KONF.15.1_gdn", + "name": "guidance", + "prose": "Dies ist besonders in Multi-Tenant-Architekturen relevant, wie sie häufig bei Cloud-Diensten oder SaaS-Anwendungen (Software as a Service) zum Einsatz kommen. Ein solcher maximaler Schwellwert (engl. threshold) könnte beispielsweise 5 GB oder 10 GB betragen und stellt die Obergrenze für den Speicherplatz dar, der einem einzelnen Konto oder Mandanten zugewiesen wird. Die Beschränkung des verfügbaren Speicherplatzes kann verhindern, dass ein einzelnes Konto oder ein Mandant die gesamten Ressourcen des Hostsystems belegt und so die Leistung für andere Nutzer negativ beeinflusst, was zu einer Denial-of-Service-Situation (DoS) führen könnte. Bei der Umsetzung ist es sinnvoll auch ein Benachrichtigungssystem zu etablieren, das Nutzer oder Administratoren informiert, wenn ein Schwellenwert kurz vor der Überschreitung steht. Zudem können automatisierte Prozesse zur Datenbereinigung (data lifecycle management) in Betracht gezogen werden, die ältere oder nicht mehr benötigte Dateien in solchen Fällen archivieren oder löschen, um den Speicherplatz effizient zu nutzen. Die Institution kann auch verschiedene Schwellenwerte für unterschiedliche Kontotypen oder Mandanten festlegen, basierend auf deren spezifischen Bedürfnissen." + } + ] + }, + { + "id": "KONF.15.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Begrenzung der Rechenleistung", + "props": [ + { + "name": "alt-identifier", + "value": "62f53764-d215-4e55-9ad1-7790922620af" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung, Phishing, Denial of Service" + } + ], + "parts": [ + { + "id": "KONF.15.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Anwendungen, Hostsysteme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Rechenleistung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "einschränken" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Konfiguration für Anwendungen von Hostsystemen KANN die Rechenleistung einschränken." + }, + { + "id": "KONF.15.2_gdn", + "name": "guidance", + "prose": "Kann durch eine Beschränkung der Anzahl verwendeter Rechenkerne, der Rechenleistung pro Rechenkern oder durch eine indirekte Beschränkung (z.B. eine begrenzte Menge an Anfragen oder Eingabetoken) umgesetzt werden. Beispielsweise kann in einem Verzeichnisdienst ein maximaler Schwellwert für die Zeit eingestellt werden, die eine Suchanfrage in Anspruch nehmen darf, um die Auslastung des Verzeichnisdienstes durch einzelne Anfragen nicht zu gefährden." + } + ] + }, + { + "id": "KONF.15.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Denial of Service", + "props": [ + { + "name": "alt-identifier", + "value": "51947077-3600-48fc-83b0-5d5ff343d706" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung, Phishing, Denial of Service" + } + ], + "parts": [ + { + "id": "KONF.15.3_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Anwendungen, Hostsysteme" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Schutzmaßnahmen gegen Denial of Service" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Konfiguration für Anwendungen von Hostsystemen KANN Schutzmaßnahmen gegen Denial of Service aktivieren." + }, + { + "id": "KONF.15.3_gdn", + "name": "guidance", + "prose": "Denial-of-Service-Angriffe zielen darauf ab, die Webanwendung für legitime Nutzende nicht mehr erreichbar zu machen. Webanwendungen im öffentlichen Interesse sind häufig Ziel derartiger Angriffe. Mechanismen wie Content Delivery Network und Load Balancer können die Lastfähigkeit der Anwendung erhöhen, während Filterfunktionen Angriffsmuster erkennen und aus den Anfragen herausfiltern können." + } + ] + }, + { + "id": "KONF.15.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Überbuchung von virtualisierten Ressourcen", + "props": [ + { + "name": "alt-identifier", + "value": "6cf041a5-163d-4faa-b817-42b35ad681c2" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung, Hochverfügbarkeit" + } + ], + "parts": [ + { + "id": "KONF.15.4_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Virtualisierungslösungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Konfigurationshistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Überbuchung von virtualisierten Ressourcen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "deaktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Konfiguration für Virtualisierungslösungen KANN die Überbuchung von virtualisierten Ressourcen deaktivieren." + }, + { + "id": "KONF.15.4_gdn", + "name": "guidance", + "prose": "Die Überbuchung (engl. overcommitment) beschreibt in Virtualisierungslösungen die Zuweisung von mehr virtuellen Ressourcen – etwa CPU-Kernen, Arbeitsspeicher oder Speicherplatz – an virtuelle Instanzen, als physisch tatsächlich vorhanden sind. Dies kann kurzfristig zu einer höheren Auslastung und Dichte von virtuellen Instanzen führen, birgt jedoch das Risiko, dass die zugrunde liegende Hardware unter Last nicht mehr alle angefragten Ressourcen bereitstellen kann. Der Zweck der Anforderung liegt darin, die Stabilität, Verfügbarkeit und Vorhersehbarkeit der virtualisierten Umgebung sicherzustellen. Ohne diese Begrenzung könnte es unter hoher Auslastung zu Leistungseinbrüchen, Systemabstürzen oder inkonsistenten Speicherzuständen kommen, während eine restriktive Konfiguration die Zuverlässigkeit und die Berechenbarkeit der Performance einer virtuellen Infrastruktur deutlich verbessern kann. Eine Institution kann die Umsetzung dieser Vorgabe durch verschiedene Maßnahmen erreichen: (1) In der Hypervisor-Konfiguration kann die Vergabe virtueller CPUs und Arbeitsspeicher exakt auf die physisch vorhandenen Ressourcen begrenzt werden. (2) Es kann sinnvoll sein, Profile oder Templates für virtuelle Maschinen zu nutzen, die konservative Standardwerte vorgeben, sodass die Gefahr unbeabsichtigter Überbuchung reduziert wird." + } + ] + } + ] + } + ] + }, + { + "id": "DEV", + "title": "Entwicklung", + "props": [ + { + "name": "label", + "value": "DEV", + "remarks": "Die Praktik Entwicklung stellt sicher, dass Sicherheitsanforderungen bereits von Beginn an in die Planungs- und Entwicklungsphase von IT-Systemen und Anwendungen integriert werden. Auf diese Weise können potenzielle Schwachstellen frühzeitig erkannt und vermieden werden, wodurch die Sicherheit über den gesamten Lebenszyklus der IT-Systeme und Anwendungen hinweg gewährleistet ist. Entwicklung berücksichtigt die Software- und Systementwicklung, also die Erzeugung und Integration neuer IT-Komponenten in die IT-Infrastruktur der Institution. Durch die enge Zusammenarbeit mit anderen Praktiken wie IT-Betrieb, Asset Management und Konfiguration wird gewährleistet, dass die entwickelten IT-Komponenten nicht nur sicher entwickelt werden, sondern auch sicher betrieben, verwaltet und gepflegt werden können. Diese enge Verzahnung sorgt dafür, dass Sicherheitsanforderungen durchgängig und über alle Phasen hinweg eingehalten werden." + }, + { + "name": "alt-identifier", + "value": "108b65aa-5964-49d7-b9eb-dc8946a923ca" + } + ], + "groups": [ + { + "id": "DEV.1", + "title": "Grundlagen", + "props": [ + { + "name": "label", + "value": "1" + }, + { + "name": "alt-identifier", + "value": "94bfadab-43f6-48d7-ac5e-49b8fbcf2794" + } + ], + "controls": [ + { + "id": "DEV.1.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Verfahren und Regelungen", + "props": [ + { + "name": "alt-identifier", + "value": "1ab03687-f510-4fc1-86c1-484135aa354b" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Security by Design" + } + ], + "parts": [ + { + "id": "DEV.1.1_stm", + "name": "statement", + "props": [ + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Verfahren und Regelungen zur Entwicklung von IT-Produkten" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Entwicklung MUSS Verfahren und Regelungen zur Entwicklung von IT-Produkten verankern." + }, + { + "id": "DEV.1.1_gdn", + "name": "guidance", + "prose": "Für ein Verfahren zur Softwareentwicklung siehe BSI TR-03185. Entwickelt die Institution im Informationsverbund keine IT-Produkte, so sind diese und alle anderen Anforderungen der Praktik entbehrlich. Die bei der Festlegung des Verfahrens im Einzelnen zu berücksichtigenden Inhalte ergeben sich aus den Anforderungen dieser Praktik." + } + ], + "controls": [ + { + "id": "DEV.1.1.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Dokumentation", + "props": [ + { + "name": "alt-identifier", + "value": "4bfbd4a1-d915-45f4-9654-dfd721933f03" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "DEV.1.1.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Verfahren und Regelungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Entwicklung MUSS die Verfahren und Regelungen dokumentieren." + }, + { + "id": "DEV.1.1.1_gdn", + "name": "guidance", + "prose": "Ohne eine Dokumentation könnte die Einhaltung der Verfahren und Regelungen von der Tagesform oder dem individuellen Wissen einzelner Mitarbeiter abhängen, was zu inkonsistenten Entscheidungen und Fehlern führen könnte; insbesondere beim Ausscheiden eines langjährigen Administrators könnte wertvolles prozessuales Wissen verloren gehen. Eine klare Dokumentation sichert die Verbindlichkeit und Wiederholbarkeit und dient als unverzichtbare Grundlage für die Einarbeitung neuer Kollegen, für die Durchführung von Audits und zur einheitlichen Anwendung der Regeln in der gesamten Institution. Die Dokumentation kann in einem eigenständigen Dokument als Richtlinie erfolgen, aber auch als Abschnitt in einem bereits bestehenden Dokument oder über die digital strukturiere Erfassung von Maßnahmen zur Umsetzung der Anforderungen, etwa über eine Software zum Management der Informationssicherheit. Sinnvoll ist es Ort und Struktur der Dokumentation an der jeweiligen Zielgruppe, d.h. den für das Management und die Umsetzung verantwortlichen Personen oder Rollen, auszurichten." + } + ] + }, + { + "id": "DEV.1.1.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Zuweisung der Aufgaben", + "params": [ + { + "id": "dev.1.1.2-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "a2cc6c12-cf80-4284-896c-5a12482c452a" + } + ], + "label": "zuständigen Personen oder Rollen" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "a2cc6c12-cf80-4284-896c-5a12482c452a" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "DEV.1.1.2_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Geschäftsverteilungsplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die mit den Verfahren und Regelungen verbundenen Aufgaben" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{zuständigen Personen oder Rollen}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "zuweisen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Entwicklung MUSS die mit den Verfahren und Regelungen verbundenen Aufgaben {{ insert: param, dev.1.1.2-prm1 }} zuweisen." + }, + { + "id": "DEV.1.1.2_gdn", + "name": "guidance", + "prose": "Die Zuweisung von Aufgaben bezeichnet die eindeutige und verbindliche Übertragung von konkreten Tätigkeiten und Verantwortlichkeiten des Änderungsprozesses, wie etwa die Risikobewertung, die technische Umsetzung oder die finale Freigabe, an definierte Stellen in der Institution. Der Sinn dieser Vorschrift ist es, die Verantwortlichkeit (\"Accountability\") für jeden einzelnen Schritt im Prozess klarzustellen. Ohne eine solche Zuweisung könnten kritische Prüfungen unterbleiben, weil sich niemand explizit zuständig fühlt, was wiederum die Wahrscheinlichkeit fehlgeschlagener Änderungen erhöht. Eine klare Regelung kann sicherstellen, dass keine Aufgaben übersehen werden und jede Tätigkeit von einer dafür qualifizierten und befugten Stelle ausgeführt wird, was die Prozesssicherheit signifikant erhöht. Eine bewährte Methode zur Umsetzung ist die Erstellung einer RACI-Matrix (Responsible, Accountable, Consulted, Informed), die tabellarisch für jeden Prozessschritt darstellt, wer für die Durchführung verantwortlich ist, wer die Gesamtverantwortung trägt, wer zu konsultieren und wer zu informieren ist. Diese Zuständigkeiten können auch direkt in einem Workflow- oder Ticketsystem abgebildet werden, sodass Aufgaben, wie beispielsweise Genehmigungsschritte, automatisch an die richtige Gruppe oder Person weitergeleitet werden. Sinnvoll ist es die Zuweisung anhand von Rollen (z.B. \"Anwendungsverantwortlicher\", \"Netzwerkadministrator\", \"Change Manager\") vorzunehmen, statt an konkrete Personen. Dieser Ansatz stellt sicher, dass die Prozesse auch bei Personalwechseln stabil weiterlaufen, da die Zuständigkeit an die Funktion und nicht an das Individuum gebunden ist." + } + ] + }, + { + "id": "DEV.1.1.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Bekanntgabe", + "props": [ + { + "name": "alt-identifier", + "value": "b36d2214-c54e-4921-a0ec-2d98e2dfb047" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "DEV.1.1.3_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "IT-Betriebskonzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die zuständigen Personen oder Rollen über die Verfahren und Regelungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "informieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Entwicklung MUSS die zuständigen Personen oder Rollen über die Verfahren und Regelungen informieren." + }, + { + "id": "DEV.1.1.3_gdn", + "name": "guidance", + "prose": "Wenn die Zuständigen die etablierten Verfahren nicht kennen, besteht die Gefahr, dass diese – sei es aus Unwissenheit oder Bequemlichkeit – umgangen werden, was die Schutzwirkung des gesamten Managementsystems untergräbt. So könnte ein neuer Systemadministrator eine weitreichende Konfigurationsänderung vornehmen, ohne den vorgeschriebenen Genehmigungsprozess zu durchlaufen, was zu einem unbemerkten Sicherheitsrisiko führen könnte. Eine gezielte Information kann hingegen die Akzeptanz der Regelungen fördern und sicherstellen, dass alle Beteiligten ihre Rolle im Prozess verstehen und die Abläufe korrekt anwenden. Zur Umsetzung ist es sinnvoll die Dokumentation im Rahmen eines Onboarding-Prozesses bekanntzugeben und bei allen Änderungen eine automtatische Benachrichtigung aller zuständigen Personen oder Rollen anzustoßen." + } + ] + } + ] + }, + { + "id": "DEV.1.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Regelmäßige Überprüfung", + "params": [ + { + "id": "dev.1.2-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "9751d813-fcc6-4511-8847-b2c6d45b4fcf" + } + ], + "label": "regelmäßig" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "9751d813-fcc6-4511-8847-b2c6d45b4fcf" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "0" + } + ], + "parts": [ + { + "id": "DEV.1.2_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Übungs- und Prüfplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Verfahren und Regelungen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "{{regelmäßig}} und anlassbezogen auf Aktualität" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überprüfen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "MUSS" + } + ], + "prose": "Entwicklung MUSS die Verfahren und Regelungen {{ insert: param, dev.1.2-prm1 }} und anlassbezogen auf Aktualität überprüfen." + }, + { + "id": "DEV.1.2_gdn", + "name": "guidance", + "prose": "Eine geplante Überprüfung der etablierten Verfahren und Regelungen dient dazu festzustellen, ob diese noch wirksam, effizient und an die aktuellen Gegebenheiten angepasst sind. Eine anlassbezogene Überprüfung wird durch spezifische Ereignisse ausgelöst, wie etwa einen schwerwiegenden Sicherheitsvorfall, eine strategische Neuausrichtung der IT oder neue gesetzliche Anforderungen. Der Zweck dieser Anforderung ist es, die kontinuierliche Verbesserung und Anpassungsfähigkeit des Prozesses sicherzustellen, da veraltete Regelungen neuen technologischen Entwicklungen oder Bedrohungen nicht mehr gerecht werden könnten; ein vor Jahren für monolithische Anwendungen konzipierter Prozess ist beispielsweise für agile Entwicklungsmethoden oder Microservice-Architekturen ungeeignet. Die regelmäßige Überprüfung kann die Effektivität des Sicherheitsmanagements langfristig aufrechterhalten und die Resilienz der Institution stärken." + } + ] + } + ] + }, + { + "id": "DEV.2", + "title": "Softwareentwicklung - Security by Design", + "props": [ + { + "name": "label", + "value": "2" + }, + { + "name": "alt-identifier", + "value": "4be7dbf9-f9b9-4f79-8315-41cc9bd14030" + } + ], + "controls": [ + { + "id": "DEV.2.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Security by Design Architektur", + "props": [ + { + "name": "alt-identifier", + "value": "c16e1dd2-8fa8-43db-83e9-32c6efd86d8e" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Security by Design" + } + ], + "parts": [ + { + "id": "DEV.2.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Entwicklungsdokumentation" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Architektur nach dem Prinzip \"Security by Design\"" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Entwicklung SOLLTE die Architektur nach dem Prinzip \"Security by Design\" verankern." + }, + { + "id": "DEV.2.1_gdn", + "name": "guidance", + "prose": "Unter \"Security by Design\" ist zu verstehen, dass Sicherheitsprinzipien und -mechanismen integrale Bestandteile der Architektur sind, anstatt nur nachträglich \"angeflanscht\" zu werden. Hierzu gehören Sicherheitsprinzipien wie Modularisierung, Verschlüsselung und Authentifizierung beim Entwurf der Architektur. Die Umsetzung kann durch Threat Modeling realisiert werden. Für Details siehe BSI TR-03185. Bei der Umsetzung von Security by Design empfiehlt sich auch ein Blick in die Praktik Konfiguration, spezifisch die Anforderungen zu Verschlüsselung, Authentifizierung, etc." + } + ] + }, + { + "id": "DEV.2.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Dokumentation der (Software-)Architektur", + "props": [ + { + "name": "alt-identifier", + "value": "79eb639b-25ed-4ce3-9d8f-c57b573c1ee3" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Security by Design" + } + ], + "parts": [ + { + "id": "DEV.2.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Entwicklungsdokumentation" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Architektur" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Entwicklung für Anwendungen SOLLTE die Architektur dokumentieren." + }, + { + "id": "DEV.2.2_gdn", + "name": "guidance", + "prose": "Die Architektur bezeichnet im konkreten Kontext die strukturierte Beschreibung der grundlegenden Komponenten einer Software sowie deren Schnittstellen, Abhängigkeiten und das Datenmodell. Sie stellt dar, wie Module, Datenflüsse und externe Systeme ineinandergreifen, und bildet damit das Gerüst für Wartung, Weiterentwicklung und Sicherheitsbewertungen. Ohne dokumentierte Architektur könnte eine Institution nach Jahren vor der Situation stehen, dass nur einzelne Entwickler den Aufbau verstehen, was den Wissenstransfer erschwert und bei Personalwechseln erhebliche Risiken birgt. Eine unklare oder fehlende Dokumentation könnte zudem dazu führen, dass Abhängigkeiten von proprietären Technologien übersehen werden, wodurch sich ein Vendor Lock-in entwickelt, der die Institution langfristig bindet. Umgekehrt kann eine nachvollziehbare Architektur Dokumentation sicherstellen, dass Schwachstellenanalysen effizient durchgeführt werden, dass Sicherheitslücken frühzeitig erkannt werden und dass neue Entwickler schneller eingearbeitet werden können. Zur Umsetzung der Anforderung kann eine Institution standardisierte Diagrammtypen wie UML oder C4 einsetzen, um Abhängigkeiten und Schnittstellen verständlich abzubilden. Hilfreich kann es sein, die Architektur in mehreren Sichten zu dokumentieren, etwa eine logische Sicht (Funktionen und Module), eine technologische Sicht (Server, Container, Frameworks) und eine sicherheitsrelevante Sicht (z. B. Trust Boundaries). Die Dokumentation kann in Versionskontrollsystemen wie Git gepflegt werden, sodass Änderungen an Architekturentscheidungen nachvollziehbar bleiben. Ergänzend kann es praktikabel sein, automatisierte Werkzeuge einzusetzen, die Code-Strukturen analysieren und Diagramme generieren, wodurch Konsistenz zwischen Dokumentation und Implementierung unterstützt werden kann." + } + ] + }, + { + "id": "DEV.2.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Ausführbarkeit mit minimalen Rechten", + "props": [ + { + "name": "alt-identifier", + "value": "88b87ec7-be5f-4740-a226-6b23994f86b4" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Security by Design" + } + ], + "parts": [ + { + "id": "DEV.2.3_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Freigabeplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die fehlerfreie Ausführung mit den geringst möglichen Berechtigungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Entwicklung für Anwendungen SOLLTE die fehlerfreie Ausführung mit den geringst möglichen Berechtigungen verankern." + }, + { + "id": "DEV.2.3_gdn", + "name": "guidance", + "prose": "Die Anwendung ermöglicht die Ausführung mit den geringst möglichen Berechtigungen, wenn sie nur die Berechtigungen benötigt, die für die gerade intendierte Funktionalität erforderlich sind (also z.B. auch ohne Kamerazugriff funktioniert, wenn Nutzende nur vorhandene Bilder betrachten möchten). Sind einzelne Berechtigungen nicht vorhanden, so funktioniert die Anwendung mit entsprechenden Einschränkungen weiterhin (Graceful Degradation)." + } + ] + }, + { + "id": "DEV.2.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Einschränkung Zugriffs auf Quellcode", + "props": [ + { + "name": "alt-identifier", + "value": "37367710-3072-43af-a7bf-6c6cec49db0f" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "1" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Security by Design" + } + ], + "parts": [ + { + "id": "DEV.2.4_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Inventar Berechtigungen" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "den schreibenden Zugriff auf Quellcode" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "einschränken" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Entwicklung SOLLTE den schreibenden Zugriff auf Quellcode einschränken." + }, + { + "id": "DEV.2.4_gdn", + "name": "guidance", + "prose": "Eine Einschränkung des schreibenden Zugriffes auf den Quellcode auf die zur Aufgabenerfüllung erforderlichen Personen oder IT-Systeme hilft, unbefugte Änderungen am Quellcode zu verhindern. Nach dem Grundsatz der geringstmöglichen Berechtigung benötigen schreibenden Zugriff nur Personen wie Entwickler oder Maintainer, zu deren Aufgaben die Arbeit am Code gehört." + } + ] + }, + { + "id": "DEV.2.5", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Einschränkung des Zugriffs auf Zugangsdaten", + "props": [ + { + "name": "alt-identifier", + "value": "3a2e18f2-8f77-4f7d-9fc9-cfadbf576c04" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Security by Design" + } + ], + "parts": [ + { + "id": "DEV.2.5_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Inventar Berechtigungen" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "den lesenden und schreibenden Zugriff auf Zugangsdaten" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "einschränken" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Entwicklung für Anwendungen SOLLTE den lesenden und schreibenden Zugriff auf Zugangsdaten einschränken." + }, + { + "id": "DEV.2.5_gdn", + "name": "guidance", + "prose": "Von der Anwendung verwendete Zugangsdaten können z.B. API-Schlüssel oder Datenbankanmeldeinformationen sein. Statt diese im Quellcode zu hinterlegen ist es besser, sie in Umgebungsvariablen oder sogenannten Vaults zu speichern. Hierbei hilft es auch, solche Daten mit .gitignore-Regeln aus der Versionskontrolle auszuschließen." + } + ] + }, + { + "id": "DEV.2.6", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Widerstandsfähigkeit gegen gängige Angriffsmuster", + "props": [ + { + "name": "alt-identifier", + "value": "65ec8cf9-f2aa-4eb5-85a6-914c3da3e148" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Security by Design" + } + ], + "parts": [ + { + "id": "DEV.2.6_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Freigabeplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Schutzfunktionen gegen gängige Angriffsmuster" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "installieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Entwicklung für Anwendungen SOLLTE Schutzfunktionen gegen gängige Angriffsmuster installieren." + }, + { + "id": "DEV.2.6_gdn", + "name": "guidance", + "prose": "Gängige Angriffsmuster sind wiederkehrende Vorgehensweisen von Angreifenden, die in der Praxis häufig auftreten, z. B. SQL-Injection, Cross-Site-Scripting (XSS) oder Pufferüberläufe. Welche Angriffsmuster für die konkrete Anwendung gängig sind, hängt von Funktionalität und Architektur der Anwendung ab, z.B. Prompt Injection bei generativer KI. Die Vorschrift zielt darauf ab, dass Produkte bereits in der Entstehung so gestaltet werden, dass typische Schwachstellen systematisch erschwert werden. Ohne entsprechende Vorkehrungen könnte ein Angreifer etwa durch manipulierte Eingaben vertrauliche Daten auslesen oder unautorisiert Funktionen steuern. Werden Schutzfunktionen frühzeitig eingebaut, kann die Stabilität des Produkts erhöht, die Angriffsfläche reduziert und das Vertrauen der Nutzenden gestärkt werden. Zur Umsetzung können etablierte Programmierpraktiken wie das Verwenden sicherer Standardbibliotheken, das Einschränken von Nutzerrechten im Code oder das Einführen von Fallback-Mechanismen bei fehlerhaften Eingaben verwendet werden. Ergänzend kann die Institution Secure Coding Guidelines nutzen, die häufige Angriffsmuster adressieren und Entwickelnden praxisnahe Hilfen bieten." + } + ], + "controls": [ + { + "id": "DEV.2.6.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Eingabevalidierung", + "props": [ + { + "name": "alt-identifier", + "value": "467ae9d3-922b-44eb-9527-d617416e5330" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Security by Design, Produktbeschreibung" + } + ], + "links": [ + { + "href": "#KONF.12.1", + "rel": "related" + } + ], + "parts": [ + { + "id": "DEV.2.6.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Freigabeplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Eingabedaten" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "auf eingeschleuste Befehle" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "testen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Entwicklung für Anwendungen SOLLTE Eingabedaten auf eingeschleuste Befehle testen." + }, + { + "id": "DEV.2.6.1_gdn", + "name": "guidance", + "prose": "Bei der Eingabevalidierung (Input Validation) wird getestet, ob die Eingabedaten eingeschleuste Befehle enthalten, z.B. SQL-Injection, Kommandozeilenbefehle oder Prompt Injection bei generativer KI. Welche Eingaben betroffen sein könnten, kann durch eine Taint Analyse herausgefunden werden. Alternativ können auch alle Eingabedaten validiert werden (Server Side Validation)." + } + ] + }, + { + "id": "DEV.2.6.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Ausgabekodierung", + "props": [ + { + "name": "alt-identifier", + "value": "dee85b12-b7f9-445e-802a-bbe13d67538e" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Security by Design, Produktbeschreibung" + } + ], + "parts": [ + { + "id": "DEV.2.6.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Freigabeplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine Ausgabekodierung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "ausführen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Entwicklung für Anwendungen SOLLTE eine Ausgabekodierung ausführen." + }, + { + "id": "DEV.2.6.2_gdn", + "name": "guidance", + "prose": "Ausgabekodierung (Output Encoding) ist wichtig, da sie spezielle Zeichen neutralisiert und so Angriffe wie Cross-Site Scripting (XSS) oder HTML-Injektionen verhindert, die ansonsten Schadcode ausführen könnten. Empfehlenswert ist kontextabhängiges Encoding und Escaping, basierend auf standardisierten Frameworks wie OWASP ESAPI." + } + ] + } + ] + } + ] + }, + { + "id": "DEV.3", + "title": "Softwareentwicklung - Härtung", + "props": [ + { + "name": "label", + "value": "3" + }, + { + "name": "alt-identifier", + "value": "dad9060e-baa4-4044-9ec0-796714c4fbd5" + } + ], + "controls": [ + { + "id": "DEV.3.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Replay-Angriffe", + "props": [ + { + "name": "alt-identifier", + "value": "2eeb41fa-2354-4ea3-a641-c7e5a33a3087" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Authentication and Authorization, Replay Attacks, Session Hijacking, Produktbeschreibung" + } + ], + "parts": [ + { + "id": "DEV.3.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Freigabeplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Replay-Angriffe" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "blockieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Entwicklung für Anwendungen SOLLTE Replay-Angriffe blockieren." + }, + { + "id": "DEV.3.1_gdn", + "name": "guidance", + "prose": "Wenn die Anwendung Anfragen von anderen Anwendungen oder IT-Systemen entgegennimmt (z.B. per API), dann besteht die Gefahr, dass Angreifer eine vorherige Anfrage erneut verwenden um unbefugt Zugang zu erhalten. Maßnahmen können sein: (1) Identifikatoren, die nur einmal gültig sind (Nonce, Sequenznummern), (2) kryptographische Mechanismen wie MAC und Digitale Signaturen, Challenge-Response-Authentifizierung, OTP." + } + ] + }, + { + "id": "DEV.3.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Routinen zur Fehlerbehandlung", + "props": [ + { + "name": "alt-identifier", + "value": "e06f7f69-4c90-4e39-b6be-a9428548e824" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Security by Design, Error Handling, Produktbeschreibung" + } + ], + "parts": [ + { + "id": "DEV.3.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Freigabeplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "spezifische und allgemeine Routinen zur Fehlerbehandlung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "ausführen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Entwicklung für Anwendungen SOLLTE spezifische und allgemeine Routinen zur Fehlerbehandlung ausführen." + }, + { + "id": "DEV.3.2_gdn", + "name": "guidance", + "prose": "Behandeln Sie Fehler (Exceptions) möglichst nahe an der Quelle (z.B. Buffer Overflows, fehlende Dateien) und sehen sie eine Routine vor, die unerwartete Fehler abfängt. Geben Sie passende Fehlermeldungen aus und protokollieren Sie Fehler." + } + ] + }, + { + "id": "DEV.3.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Deaktivierung der Ausgabe schützenswerter Daten durch Fehlermeldungen", + "props": [ + { + "name": "alt-identifier", + "value": "2b3f6962-b23f-4698-984e-f5b942ab2fdd" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Security by Design, Error Handling, Produktbeschreibung" + } + ], + "parts": [ + { + "id": "DEV.3.3_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Freigabeplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Ausgabe schützenswerter Daten durch Fehlermeldungen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "deaktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Entwicklung für Anwendungen SOLLTE die Ausgabe schützenswerter Daten durch Fehlermeldungen deaktivieren." + }, + { + "id": "DEV.3.3_gdn", + "name": "guidance", + "prose": "Werden sensible Daten in Fehlermeldungen oder Log-Einträgen verwendet, kommt es leicht zur Offenlegung dieser Informationen gegenüber Unbefugten. Hierzu gehören auch Hinweise auf das Vorhandensein oder Nicht-Vorhandensein eines Nutzendenkontos." + } + ] + }, + { + "id": "DEV.3.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Passwort-Hashing", + "props": [ + { + "name": "alt-identifier", + "value": "6b7d5613-a32c-4a47-8a4f-766053da0e74" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "1" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung, Cryptography" + } + ], + "parts": [ + { + "id": "DEV.3.4_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Freigabeplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "das Hashing von Passwörtern, die zur Authentifizierung an der Anwendung verwendet werden" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "vor der Verarbeitung oder Speicherung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Entwicklung für Anwendungen SOLLTE das Hashing von Passwörtern, die zur Authentifizierung an der Anwendung verwendet werden vor der Verarbeitung oder Speicherung aktivieren." + }, + { + "id": "DEV.3.4_gdn", + "name": "guidance", + "prose": "Ziel ist der Schutz vor Angriffen, welche Passwörter beim Transport oder aus dem Speicher auslesen und sich hiermit anmelden. Dies kann durch Hash und Salt gemäß BSI TR-02102 vermieden werden." + } + ] + } + ] + }, + { + "id": "DEV.4", + "title": "Softwareentwicklung - Code", + "props": [ + { + "name": "label", + "value": "4" + }, + { + "name": "alt-identifier", + "value": "788c2014-fff2-45f3-97c4-46f56ece2a1b" + } + ], + "controls": [ + { + "id": "DEV.4.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Nutzerinformation bei kritischen Ereignissen", + "props": [ + { + "name": "alt-identifier", + "value": "15c87c6f-7b62-4dcf-88a5-f38bb5a00ce5" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + } + ], + "parts": [ + { + "id": "DEV.4.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Freigabeplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "bei sicherheitskritischen Ereignissen die betroffenen Nutzenden" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "informieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Entwicklung für Anwendungen SOLLTE bei sicherheitskritischen Ereignissen die betroffenen Nutzenden informieren." + }, + { + "id": "DEV.4.1_gdn", + "name": "guidance", + "prose": "Z.B. bei Anmeldung von neuen Geräten, Zurücksetzen des Passwortes, ungewöhnlichen Standorten oder der Änderung von Stammdaten." + } + ] + }, + { + "id": "DEV.4.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Bibliotheksquellen", + "props": [ + { + "name": "alt-identifier", + "value": "54b5a504-5b17-4fea-8514-079d99eb0102" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten, Secure Compiling Practices" + } + ], + "links": [ + { + "href": "#BES.3.3", + "rel": "related" + } + ], + "parts": [ + { + "id": "DEV.4.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Arbeitsanweisung" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Einbindung externer Softwarebibliotheken und -Schnittstellen aus unzuverlässigen oder unbekannten Quellen" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "untersagen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Entwicklung für Anwendungen SOLLTE die Einbindung externer Softwarebibliotheken und -Schnittstellen aus unzuverlässigen oder unbekannten Quellen untersagen." + }, + { + "id": "DEV.4.2_gdn", + "name": "guidance", + "prose": "Eine Quelle ist unzuverlässig, wenn zukünftig mit Verstößen gegen die Schutzziele Vertraulichkeit, Verfügbarkeit oder Integrität durch sie zu rechnen ist (d.h. eine Prognose der Vertrauenswürdigkeit). Dies ist insbesondere der Fall, wenn erhebliche Verstöße gegen die Schutzziele durch sie begangen worden sind oder Anzeichen dafür vorliegen, dass bei einer Verwendung mit solchen Verstößen zu rechnen ist." + } + ] + }, + { + "id": "DEV.4.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Softwarebestandteile (SBOM)", + "props": [ + { + "name": "alt-identifier", + "value": "5b695087-3a35-441a-b8c9-9937a681a996" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung, Lieferketten" + } + ], + "links": [ + { + "href": "#BES.7.4.4.1", + "rel": "related" + }, + { + "href": "#TEST.3.1.7", + "rel": "related" + } + ], + "parts": [ + { + "id": "DEV.4.3_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Entwicklungsdokumentation" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Bestandteile mit Hilfe einer Software Bill of Materials (SBOM)" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "vor dem Release" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Entwicklung für Anwendungen SOLLTE die Bestandteile mit Hilfe einer Software Bill of Materials (SBOM) vor dem Release dokumentieren." + }, + { + "id": "DEV.4.3_gdn", + "name": "guidance", + "prose": "Details siehe BSI TR-03183-2. Anwendungen zur Modulverwaltung und Software Composition Analysis (SCA) können dabei unterstützen SBOMs als Teil eines CI/CD Prozesses automatisiert zu sammeln." + } + ] + }, + { + "id": "DEV.4.4", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Integrität externer Softwarebibliotheken", + "props": [ + { + "name": "alt-identifier", + "value": "62b75210-9470-456f-a191-9bbe48da5313" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Secure Compiling Practices" + } + ], + "parts": [ + { + "id": "DEV.4.4_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Freigabeplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Integrität externer Softwarebibliotheken" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "vor dem Release" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "testen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Entwicklung für Anwendungen SOLLTE die Integrität externer Softwarebibliotheken vor dem Release testen." + }, + { + "id": "DEV.4.4_gdn", + "name": "guidance", + "prose": "Gemeint ist damit sowohl die technische Unversehrtheit (z. B. durch kryptografische Prüfungen wie Hash- oder Signaturvalidierung) als auch die inhaltliche Zuverlässigkeit (z. B. keine eingeschleusten Schadfunktionen oder versteckte Abhängigkeiten). Der Sinn und Zweck dieser Anforderung liegt darin, die Risiken durch unsichere oder manipulierte Fremdkomponenten zu reduzieren. So könnte ein Angreifer Schadcode in eine weit verbreitete Bibliothek einschleusen, die dann unbemerkt in der Anwendung landet, oder eine Abhängigkeit könnte im Hintergrund auf nicht mehr gepflegte Versionen verweisen. Eine wirksame Integritätsprüfung kann verhindern, dass fehlerhafte oder kompromittierte Bausteine in produktive Anwendungen gelangen und kann damit auch die Abhängigkeit von nicht vertrauenswürdigen Quellen abmildern. Zur Umsetzung können (1) Hashwerte oder digitale Signaturen von Bibliotheken mit den Referenzwerten der Hersteller verglichen werden, (2) der Bezug externer Pakete über offizielle, verifizierte Repositories, statt über inoffizielle Quellen stattfinden, und (3) in der Build-Pipeline eine automatisierte Integritätsprüfung eingerichtet sein, die verdächtige oder unvollständige Bibliotheken blockieret. Ergänzend kann eine institutionseigene Allowlist gepflegt werden, die geprüfte Versionen von Bibliotheken enthält, sodass Entwickler nicht unkontrolliert beliebige Abhängigkeiten einbinden. Ein praktischer Tipp kann sein, die Prüfmechanismen möglichst früh im Entwicklungsprozess zu automatisieren, um spätere manuelle Nacharbeiten oder Verzögerungen vor einem Release zu vermeiden." + } + ] + }, + { + "id": "DEV.4.5", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Updates externer Softwarebibliotheken", + "props": [ + { + "name": "alt-identifier", + "value": "3d451248-af76-44a4-87b9-8a86cdff4c28" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Lieferketten, Secure Compiling Practices" + } + ], + "parts": [ + { + "id": "DEV.4.5_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Freigabeplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "externe Softwarebibliotheken auf Sicherheitsupdates" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "vor dem Release" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "testen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Entwicklung für Anwendungen SOLLTE externe Softwarebibliotheken auf Sicherheitsupdates vor dem Release testen." + }, + { + "id": "DEV.4.5_gdn", + "name": "guidance", + "prose": "Werden veraltete Softwarebibliotheken in eine veröffentlichte Software eingebunden, so können diese Sicherheitslücken oder Fehler enthalten, die in den aktuellen Versionen bereits behoben sind. Prüfen Sie daher vor einer Freigabe der Software ob eingebundene Bibliotheken aktualisiert wurden." + } + ] + }, + { + "id": "DEV.4.6", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Compileroptionen", + "props": [ + { + "name": "alt-identifier", + "value": "615f77e2-9734-4778-ba5a-95a6b80a92d9" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Secure Compiling Practices" + } + ], + "parts": [ + { + "id": "DEV.4.6_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Freigabeplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Compileroptionen für Sicherheitsfunktionen" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "vor dem Release" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Entwicklung für Anwendungen SOLLTE Compileroptionen für Sicherheitsfunktionen vor dem Release aktivieren." + }, + { + "id": "DEV.4.6_gdn", + "name": "guidance", + "prose": "Compileroptionen wie Stack Canaries, PIE, PIE, CFI können automatisch Schutzmechanismen in Programme einbauen. Bewährte Praxis ist es, diese Compileroptionen zu aktivieren, sofern es keine entgegenstehenden besonderen Gründe gibt, darauf im Einzelfall zu verzichten. Werden interpretierte Programmiersprachen verwendet, so ist die Anforderung analog auf die Interpreter-Optionen anzuwenden." + } + ] + }, + { + "id": "DEV.4.7", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Deterministischer Binärcode", + "props": [ + { + "name": "alt-identifier", + "value": "973bc793-3acb-4d77-9b7e-9599090c3779" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "erhöht" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "5" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Secure Compiling Practices" + } + ], + "parts": [ + { + "id": "DEV.4.7_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Entwicklungsdokumentation" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "eine reproduzierbare Vorgehensweise zur Erstellung eines bestimmten Binärcodes aus dem Quellcode" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "KANN" + } + ], + "prose": "Entwicklung für Anwendungen KANN eine reproduzierbare Vorgehensweise zur Erstellung eines bestimmten Binärcodes aus dem Quellcode dokumentieren." + }, + { + "id": "DEV.4.7_gdn", + "name": "guidance", + "prose": "Ein bestimmter Binärcode meint hier eine reproduzierbare Anwendung (Reproducible builds). Das bedeutet, dass jeder, der denselben Quellcode und dieselbe Build-Umgebung verwendet, bitweise identische Binärdateien erstellt, was die Integrität der Software gegen Manipulationen oder Malware sichert. Dies geschieht durch die genaue Beschreibung der Build-Umgebung und die Vermeidung von zufälligen Faktoren wie Zeitstempeln, die sich auf die erzeugten Artefakte auswirken könnten." + } + ] + }, + { + "id": "DEV.4.8", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Default-Zugangsdaten", + "props": [ + { + "name": "alt-identifier", + "value": "00fa92b3-76a1-40ac-b7ad-d4c0a4e0ae64" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung, Security by Default" + } + ], + "parts": [ + { + "id": "DEV.4.8_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Entwicklungsdokumentation" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Default-Zugangsdaten" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "vor dem Release" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "dokumentieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Entwicklung für Anwendungen SOLLTE Default-Zugangsdaten vor dem Release dokumentieren." + }, + { + "id": "DEV.4.8_gdn", + "name": "guidance", + "prose": "Falls die Software Default-Zugangsdaten wie Passwörter oder Zertifikate enthält, so ist eine sichere Nutzung der Software nur möglich, wenn Nutzende hiervon Kenntnis erhalten um die Zugangsdaten ändern zu können. Sind keine Default-Zugangsdaten erforderlich, so ist die Anforderung entbehrlich." + } + ] + }, + { + "id": "DEV.4.9", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Voreinstellungen nach dem Prinzip \"Security by Default\"", + "props": [ + { + "name": "alt-identifier", + "value": "fa1f8609-00d9-4d70-84cb-b3616efea279" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "1" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung, Security by Default" + } + ], + "parts": [ + { + "id": "DEV.4.9_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Codehistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Voreinstellungen nach dem Prinzip \"Security by Default\"" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "aktivieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Entwicklung für Anwendungen SOLLTE Voreinstellungen nach dem Prinzip \"Security by Default\" aktivieren." + }, + { + "id": "DEV.4.9_gdn", + "name": "guidance", + "prose": "Voreinstellungen sind die Parameter der Anwendung, mit denen diese im Auslieferungszustand (oder bei Cloud-Anwendungen beim Anlegen eines neuen Zugangskontos) ausgeführt wird. Welche Parameter hier konkret sicher sind ergibt sich aus der Praktik Konfiguration für die jeweilige Art von Zielobjekten." + } + ] + }, + { + "id": "DEV.4.10", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Protokollierung von Codeänderungen", + "props": [ + { + "name": "alt-identifier", + "value": "e2458854-ad5a-433f-896c-e3eef23b6952" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "1" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Change Management" + } + ], + "parts": [ + { + "id": "DEV.4.10_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Codehistorie" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Änderungen am Quellcode" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "einschließlich Zeitpunkt, Inhalt der Änderung, ändernder Person und der Begründung der Änderung" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "protokollieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Entwicklung für Anwendungen SOLLTE Änderungen am Quellcode einschließlich Zeitpunkt, Inhalt der Änderung, ändernder Person und der Begründung der Änderung protokollieren." + }, + { + "id": "DEV.4.10_gdn", + "name": "guidance", + "prose": "Im Kontext dieser Anforderung bezeichnet Quellcode den in einer Programmiersprache geschriebenen, von Menschen lesbaren Anteil einer Anwendung, während eine Änderung jede Anpassung, Ergänzung oder Entfernung dieses Codes umfasst. Unter Begründung ist die dokumentierte fachliche oder technische Motivation zu verstehen, die erläutert, warum eine Änderung notwendig war, beispielsweise zur Fehlerbehebung, Funktionserweiterung oder Verbesserung der Sicherheit. Der Zeitpunkt entspricht dabei einem präzisen Zeitstempel, der eine eindeutige zeitliche Nachvollziehbarkeit erlaubt, und die ändernde Person ist diejenige, die die Modifikation fachlich veranlasst oder technisch durchgeführt hat – nicht zwingend dieselbe Rolle wie ein Freigebender oder Reviewer. Die Protokollierung kann verhindern, dass unautorisierte oder fehlerhafte Anpassungen unentdeckt bleiben, und sie kann im Streitfall eine klare Nachvollziehbarkeit bieten. Ohne diese Nachweise könnte es zu unklaren Verantwortlichkeiten, erhöhtem Manipulationsrisiko oder schwer nachvollziehbaren Fehlfunktionen kommen. Eine Institution kann diese Anforderung durch Nutzung von Versionsverwaltungssystemen wie Git oder Subversion umsetzen, indem sie für jede Änderung standardisierte Commit-Meldungen mit Zeitstempel, Autor und Begründung erzwingt. Ergänzend kann ein Workflow etabliert werden, bei dem Änderungen erst nach einem Merge- oder Pull-Request mit dokumentierter Beschreibung in den Hauptzweig gelangen. Sinnvoll ist es zudem, einfache Vorlagen oder Textbausteine für Begründungen bereitzustellen, sodass Änderungen einheitlich und vollständig erklärt werden können. Für Transparenz kann zusätzlich ein automatisches Änderungsprotokoll generiert werden, das regelmäßig exportiert oder archiviert wird, um auch ohne Zugriff auf das Versionsverwaltungssystem auswertbar zu bleiben." + } + ] + }, + { + "id": "DEV.4.11", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Test bei Änderungen am Quellcode", + "props": [ + { + "name": "alt-identifier", + "value": "080fdbcd-0a91-4374-9d1a-c7a1eb078e97" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "4" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Change Management" + } + ], + "links": [ + { + "href": "#TEST.1.1", + "rel": "required" + } + ], + "parts": [ + { + "id": "DEV.4.11_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Freigabeplan" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Änderungen am Quellcode" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "im Einklang mit den Verfahren und Regelungen für Änderungen und Tests" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "testen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Entwicklung für Anwendungen SOLLTE Änderungen am Quellcode im Einklang mit den Verfahren und Regelungen für Änderungen und Tests testen." + }, + { + "id": "DEV.4.11_gdn", + "name": "guidance", + "prose": "„Änderungen am Quellcode“ (engl. source code changes) bezeichnet im gegebenen Kontext sämtliche Modifikationen, die an den Programmbestandteilen einer Anwendung vorgenommen werden, also etwa neue Funktionen, Fehlerkorrekturen oder Anpassungen an Schnittstellen. Fehlerhafte oder ungetestete Anpassungen könnten etwa zu Sicherheitslücken, Datenverlust oder Instabilitäten im Betrieb führen, wohingegen eine strukturierte Prüfung verhindern kann, dass bekannte Schwachstellen erneut auftreten oder unbeabsichtigte Seiteneffekte entstehen. Solche Änderungen sind daher als Teil des Change Managements zu betrachten, dessen Anforderungen im Einzelnen in der Praktik Änderungen und Tests zu finden sind. Zur praktischen Umsetzung kann eine Institution jede Änderung automatisiert durch Static Application Security Testing (SAST) prüfen, wodurch potenzielle Schwachstellen direkt im Quellcode erkannt werden können. Ergänzend ist es sinnvoll Dynamic Application Security Testing (DAST) einzusetzen, um die lauffähige Anwendung in einer Testumgebung gegen typische Angriffe wie SQL-Injection oder Cross-Site-Scripting zu überprüfen. Sinnvolle Maßnahmen können dabei sein: (1) Aufbau einer Continuous-Integration-Pipeline, die automatisierte Unit-, Integrations- und Sicherheitstests einbindet und Ergebnisse konsolidiert darstellt, (2) Durchführung von manuellen explorativen Tests in einer isolierten Testumgebung, um auch unerwartete Nutzungsmuster zu prüfen, (3) Einsatz von Regressionstests, die sicherstellen können, dass neue Änderungen keine bestehenden Funktionen beeinträchtigen. Eine Institution kann damit die Qualitätssicherung stärken und gleichzeitig Angriffsflächen durch fehlerhafte Änderungen reduzieren." + } + ] + } + ] + }, + { + "id": "DEV.5", + "title": "Softwareentwicklung - Updates", + "props": [ + { + "name": "label", + "value": "5" + }, + { + "name": "alt-identifier", + "value": "accbabf3-e91b-4f5c-a1e3-7109c1971a6b" + } + ], + "controls": [ + { + "id": "DEV.5.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Verankerung des Zeitraums für Updates", + "params": [ + { + "id": "dev.5.1-prm1", + "props": [ + { + "name": "alt-identifier", + "value": "649b5b3b-fd58-4bec-84bb-71c93b264f94" + } + ], + "label": "einen bestimmten Zeitraum" + } + ], + "props": [ + { + "name": "alt-identifier", + "value": "649b5b3b-fd58-4bec-84bb-71c93b264f94" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "DEV.5.1_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Entwicklungsdokumentation" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Bereitstellung von Sicherheitsupdates mindestens für {{einen bestimmten Zeitraum}}" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Entwicklung für Anwendungen SOLLTE die Bereitstellung von Sicherheitsupdates mindestens für {{ insert: param, dev.5.1-prm1 }} verankern." + }, + { + "id": "DEV.5.1_gdn", + "name": "guidance", + "prose": "Hierbei wird festgelegt, für welchen konkreten Zeitraum Sicherheitsaktualisierungen (Patches) für das Produkt mindestens bereitgestellt werden. Dazu gehört auch eine Definition von welchem Zeitpunkt aus der Zeitraum berechnet wird, z.B. Erstveröffentlichung des Produkts. Denken Sie dabei daran, ob ggf. Compliance-Verpflichtungen einzuhalten sind, z.B. § 475b Abs. 3 Nr. 2 BGB für Verbraucherverträge." + } + ] + }, + { + "id": "DEV.5.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Information über Zeitraum für Updates", + "props": [ + { + "name": "alt-identifier", + "value": "ca255009-1c23-47a7-b0f6-a79693b47b95" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + } + ], + "links": [ + { + "href": "#DEV.5.1", + "rel": "required" + } + ], + "parts": [ + { + "id": "DEV.5.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Entwicklungsdokumentation" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Auftraggeber über den festgelegten Zeitraum für Sicherheitsupdates" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "informieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Entwicklung für Anwendungen SOLLTE Auftraggeber über den festgelegten Zeitraum für Sicherheitsupdates informieren." + }, + { + "id": "DEV.5.2_gdn", + "name": "guidance", + "prose": "Stellen Sie den Empfängern der Software Informationen darüber bereit, wie lange Sicherheitsaktualisierungen gewährleistet werden und wie diese bezogen werden können." + } + ] + }, + { + "id": "DEV.5.3", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Integritätsprüfung", + "props": [ + { + "name": "alt-identifier", + "value": "878e31fd-614f-4034-8d96-2604e4ed6b92" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + }, + { + "name": "tags", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/tags.csv", + "value": "Produktbeschreibung" + } + ], + "parts": [ + { + "id": "DEV.5.3_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Entwicklungsdokumentation" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "Nutzende über Möglichkeiten zur Verifikation der Integrität von Installations-, Update- und Patchdateien" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "informieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Entwicklung für Anwendungen SOLLTE Nutzende über Möglichkeiten zur Verifikation der Integrität von Installations-, Update- und Patchdateien informieren." + }, + { + "id": "DEV.5.3_gdn", + "name": "guidance", + "prose": "Dies kann z.B. durch die Veröffentlichung von Prüfsummen über einen authentifizierten Kanal wie eine Webseite mit X.509-Zertifikat erfolgen." + } + ] + } + ] + }, + { + "id": "DEV.6", + "title": "Freigabe", + "props": [ + { + "name": "label", + "value": "6" + }, + { + "name": "alt-identifier", + "value": "3c5acebf-32b1-42dc-a9ca-06c45aa320fb" + } + ], + "controls": [ + { + "id": "DEV.6.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Freigabe nach Änderungen und Tests", + "props": [ + { + "name": "alt-identifier", + "value": "f89b3d65-b38d-4269-80a1-2d5c6b8a9ad9" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "links": [ + { + "href": "#TEST.1.1", + "rel": "related" + } + ], + "parts": [ + { + "id": "DEV.6.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Entwicklungsdokumentation" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Freigabe zur Nutzung" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "im Einklang mit den entsprechenden Verfahren und Regelungen für Änderungen und Tests" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "autorisieren" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Entwicklung SOLLTE die Freigabe zur Nutzung im Einklang mit den entsprechenden Verfahren und Regelungen für Änderungen und Tests autorisieren." + }, + { + "id": "DEV.6.1_gdn", + "name": "guidance", + "prose": "Eine Freigabe zur Nutzung (Release) meint hier die formelle und autorisierte Überführung einer entwickelten oder geänderten IT-Komponente (wie Software, Systemkonfiguration, Dienstleistung) von einer Test- oder Entwicklungsumgebung in eine Produktions- oder Betriebsumgebung, um den Endbenutzern zur Verfügung zu stehen. Die Vorschrift zielt darauf ab, sicherzustellen, dass nur getestete und abgestimmte Änderungen in den Betrieb gelangen. Ohne diese Autorisierung könnte ungetesteter Code oder eine nicht genehmigte Systemänderung zu schwerwiegenden Betriebsunterbrechungen, Datenverlust oder Sicherheitslücken führen. Eine formalisierte Freigabe kann die Integrität und Verfügbarkeit von Systemen schützen, indem sie die Einhaltung der etablierten Verfahren und Regelungen für Änderungen und Tests sicherstellt." + } + ] + } + ] + }, + { + "id": "DEV.7", + "title": "Bereitstellung und Betrieb", + "props": [ + { + "name": "label", + "value": "7" + }, + { + "name": "alt-identifier", + "value": "46880db8-b893-47e3-ae6d-c922054791da" + } + ], + "controls": [ + { + "id": "DEV.7.1", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Sichere Bereitstellung", + "props": [ + { + "name": "alt-identifier", + "value": "8a9a1a39-1ead-4c8a-bcda-5bf14c970df1" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "3" + } + ], + "links": [ + { + "href": "#TEST.1.1", + "rel": "related" + } + ], + "parts": [ + { + "id": "DEV.7.1_stm", + "name": "statement", + "props": [ + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Entwicklungsdokumentation" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Bereitstellung" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "im Einklang mit den entsprechenden Verfahren und Regelungen für Änderungen und Tests" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "verankern" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Entwicklung SOLLTE die Bereitstellung im Einklang mit den entsprechenden Verfahren und Regelungen für Änderungen und Tests verankern." + }, + { + "id": "DEV.7.1_gdn", + "name": "guidance", + "prose": "Die Bereitstellung ist der Prozessschritt, durch den eine neu entwickelte oder geänderte Softwareversion, ein Dienst oder ein System in die Produktionsumgebung überführt und dort aktiv für die Endnutzer oder Geschäftsprozesse zugänglich gemacht wird. Die Anforderungen aus der Praktik Änderungen und Tests (also zum Change Management) betreffen auch die Bereitstellung. Eine geordnete Bereitstellung minimiert das Risiko, dass ungetestete oder nicht genehmigte Änderungen in Betrieb gehen, was sonst zu Dienstunterbrechungen, Datenverlust oder der Ausnutzung von Sicherheitslücken führen könnte." + } + ] + }, + { + "id": "DEV.7.2", + "class": "BSI-Stand-der-Technik-Kernel", + "title": "Zertifikatsmonitoring", + "props": [ + { + "name": "alt-identifier", + "value": "61b03a52-d68e-4bda-b715-91cac2e70e87" + }, + { + "name": "sec_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/security_level.csv", + "value": "normal-SdT" + }, + { + "name": "effort_level", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/effort_level.csv", + "value": "2" + } + ], + "parts": [ + { + "id": "DEV.7.2_stm", + "name": "statement", + "props": [ + { + "name": "target_object_categories", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/target_object_categories.csv", + "value": "Anwendungen" + }, + { + "name": "documentation", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/documentation_guidelines.csv", + "value": "Detektions-Konzept" + }, + { + "name": "result", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "die Ausstellung neuer Zertifikate" + }, + { + "name": "result_specification", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/result.csv", + "value": "für die von der Anwendung verwendeten Domains" + }, + { + "name": "action_word", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/action_words.csv", + "value": "überwachen" + }, + { + "name": "modal_verb", + "ns": "https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/tree/main/Dokumentation/namespaces/modal_verbs.csv", + "value": "SOLLTE" + } + ], + "prose": "Entwicklung für Anwendungen SOLLTE die Ausstellung neuer Zertifikate für die von der Anwendung verwendeten Domains überwachen." + }, + { + "id": "DEV.7.2_gdn", + "name": "guidance", + "prose": "Anwendungen die über das Netz kommunizieren nutzen typischerweise X.509-Zertifikate zur Authentifizierung (z.B. per TLS). Die Ausstellung neuer Zertifikate bei Zertifizierungsstellen kann ein Angriffsversuch Dritter sein, die vorgeben wollen die Anwendung zu betreiben. Dies kann mittels Certificate Transparency automatisiert werden." + } + ] + } + ] + } + ] + } + ], + "back-matter": { + "resources": [ + { + "uuid": "6a598493-8f3b-4ad3-ad73-9fb1495916e6", + "title": "BSI IT-Grundschutz Edition 2023", + "rlinks": [ + { + "href": "https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/it-grundschutz_node.html", + "hashes": [ + { + "algorithm": "MD5", + "value": "c91280d3504b9c81c5ceaf5bdaee5c7f" + } + ] + } + ] + } + ] + } + } +} \ No newline at end of file diff --git a/vulndb/compliance/grundschutz_service.go b/vulndb/compliance/grundschutz_service.go new file mode 100644 index 000000000..70bf23808 --- /dev/null +++ b/vulndb/compliance/grundschutz_service.go @@ -0,0 +1,56 @@ +package vulndb + +import ( + "bytes" + _ "embed" + + oscalTypes "github.com/defenseunicorns/go-oscal/src/types/oscal-1-1-3" + "github.com/l3montree-dev/devguard/database/models" +) + +//go:embed Grundschutz++-catalog.json +var grundschutzCatalogJSON []byte + +func grundschutzAdditionalMapper(groupTitle *string, controlProps *[]oscalTypes.Property, parts []oscalTypes.Part) map[string]interface{} { + additional := make(map[string]interface{}) + if groupTitle != nil { + additional["group_title"] = *groupTitle + } + for _, prop := range derefProps(controlProps) { + switch prop.Name { + case "sec_level": + additional["security_level"] = prop + case "effort_level": + additional["effort_level"] = prop + } + + } + for _, p := range parts { + if p.Name == "guidance" && p.Prose != "" { + additional["guidance"] = p.Prose + } + if p.Name == "statement" { + for _, prop := range derefProps(p.Props) { + switch prop.Name { + case "modal_verb": + additional["importance"] = prop + case "action_word": + additional["word_definition"] = prop + case "result": + additional["result"] = prop + case "result_specification": + additional["result_specification"] = prop + } + } + } + } + return additional +} + +func LoadGrundschutzControls() ([]models.FrameworkControl, error) { + catalog, err := ParseOSCALCatalog(bytes.NewReader(grundschutzCatalogJSON)) + if err != nil { + return nil, err + } + return ExtractControlsFromCatalog(catalog, "Grundschutz++", grundschutzAdditionalMapper), nil +} diff --git a/vulndb/compliance/oscal_service.go b/vulndb/compliance/oscal_service.go new file mode 100644 index 000000000..73dee910a --- /dev/null +++ b/vulndb/compliance/oscal_service.go @@ -0,0 +1,143 @@ +// Copyright (C) 2026 l3montree GmbH +// +// This program is free software: you can redistribute it and/or modify +// it under the terms of the GNU Affero General Public License as +// published by the Free Software Foundation, either version 3 of the +// License, or (at your option) any later version. +// +// This program is distributed in the hope that it will be useful, +// but WITHOUT ANY WARRANTY; without even the implied warranty of +// MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the +// GNU Affero General Public License for more details. +// +// You should have received a copy of the GNU Affero General Public License +// along with this program. If not, see . + +package vulndb + +import ( + "encoding/json" + "fmt" + "io" + + oscalTypes "github.com/defenseunicorns/go-oscal/src/types/oscal-1-1-3" + "github.com/l3montree-dev/devguard/database/models" + "gorm.io/datatypes" +) + +type AdditionalMapper func(groupTitle *string, controlProps *[]oscalTypes.Property, parts []oscalTypes.Part) map[string]interface{} + +func mustMarshalJSON(v any) datatypes.JSON { + b, _ := json.Marshal(v) + return datatypes.JSON(b) +} + +func ParseOSCALCatalog(r io.Reader) (*oscalTypes.Catalog, error) { + data, err := io.ReadAll(r) + if err != nil { + return nil, fmt.Errorf("reading catalog: %w", err) + } + + var schema oscalTypes.OscalCompleteSchema + if err := json.Unmarshal(data, &schema); err != nil { + return nil, fmt.Errorf("unmarshalling oscal catalog: %w", err) + } + + if schema.Catalog == nil { + return nil, fmt.Errorf("no catalog found in oscal document") + } + + return schema.Catalog, nil +} + +func ExtractControlsFromCatalog(catalog *oscalTypes.Catalog, frameworkName string, mapper AdditionalMapper) []models.FrameworkControl { + var controls []models.FrameworkControl + for _, g := range derefGroups(catalog.Groups) { + controls = append(controls, extractFromGroup(g, frameworkName, mapper)...) + } + for _, c := range derefControls(catalog.Controls) { + controls = append(controls, controlToFrameworkControl(c, nil, nil, frameworkName, mapper)...) + } + return controls +} + +func extractFromGroup(g oscalTypes.Group, frameworkName string, mapper AdditionalMapper) []models.FrameworkControl { + var controls []models.FrameworkControl + for _, c := range derefControls(g.Controls) { + controls = append(controls, controlToFrameworkControl(c, nil, &g.Title, frameworkName, mapper)...) + } + for _, sub := range derefGroups(g.Groups) { + controls = append(controls, extractFromGroup(sub, frameworkName, mapper)...) + } + return controls +} + +func controlToFrameworkControl(c oscalTypes.Control, parentControlID *string, groupTitle *string, frameworkName string, mapper AdditionalMapper) []models.FrameworkControl { + parts := derefParts(c.Parts) + + // Find the statement part for the description; fall back to any part with prose. + description := "" + for _, p := range parts { + if p.Name == "statement" && p.Prose != "" { + description = p.Prose + break + } + } + if description == "" { + for _, p := range parts { + if p.Prose != "" { + description = p.Prose + break + } + } + } + + var result []models.FrameworkControl + + fc := models.FrameworkControl{ + Framework: frameworkName, + ControlID: c.ID, + Title: c.Title, + Class: c.Class, + Description: description, + Additional: mustMarshalJSON(mapper(groupTitle, c.Props, parts)), + } + fc.SetID() + if parentControlID != nil { + fc.ParentFrameworkControlID = parentControlID + } + result = append(result, fc) + + for _, sub := range derefControls(c.Controls) { + result = append(result, controlToFrameworkControl(sub, &c.ID, groupTitle, frameworkName, mapper)...) + } + return result +} + +func derefGroups(g *[]oscalTypes.Group) []oscalTypes.Group { + if g == nil { + return nil + } + return *g +} + +func derefControls(c *[]oscalTypes.Control) []oscalTypes.Control { + if c == nil { + return nil + } + return *c +} + +func derefParts(p *[]oscalTypes.Part) []oscalTypes.Part { + if p == nil { + return nil + } + return *p +} + +func derefProps(p *[]oscalTypes.Property) []oscalTypes.Property { + if p == nil { + return nil + } + return *p +} From d6901e2d6b7d8ba038bf6b0f18507496982c92bc Mon Sep 17 00:00:00 2001 From: rafi Date: Fri, 10 Jul 2026 11:55:56 +0200 Subject: [PATCH 04/16] add SCF and OSCAL control mapping to compliance posture Signed-off-by: rafi --- LICENSE.txt | 2 +- cmd/devguard/main.go | 43 +- controllers/compliance_posture_controller.go | 17 +- ...625000000_add_compliance_frameworks.up.sql | 2 + ...260707000000_create_mapped_controls.up.sql | 11 + database/models/framework_control_model.go | 13 + .../compliance_posture_repository.go | 123 +- dtos/comilance_posture_dto.go | 9 + services/compliance_posture_service.go | 8 +- shared/common_interfaces.go | 6 +- transformer/compliance_posture_transformer.go | 10 + vulndb/compliance/Grundschutz++_License.md | 11 + vulndb/compliance/SCF.json | 898622 +++++++++++++++ vulndb/compliance/SCF_License.md | 28 + vulndb/compliance/grundschutz_service.go | 128 +- vulndb/compliance/oscal_insert.go | 139 + vulndb/compliance/oscal_insert_test.go | 172 + vulndb/compliance/oscal_service.go | 90 +- vulndb/compliance/scf_service.go | 59 + 19 files changed, 899438 insertions(+), 55 deletions(-) create mode 100644 database/migrations/20260707000000_create_mapped_controls.up.sql create mode 100644 vulndb/compliance/Grundschutz++_License.md create mode 100644 vulndb/compliance/SCF.json create mode 100644 vulndb/compliance/SCF_License.md create mode 100644 vulndb/compliance/oscal_insert.go create mode 100644 vulndb/compliance/oscal_insert_test.go create mode 100644 vulndb/compliance/scf_service.go diff --git a/LICENSE.txt b/LICENSE.txt index b9c5b91c1..cd3d889d4 100644 --- a/LICENSE.txt +++ b/LICENSE.txt @@ -1,4 +1,4 @@ -Files: * except 'images/*' and except where noted otherwise +Files: * except 'images/*', except 'vulndb/compliance/SCF.json', except 'vulndb/compliance/Grundschutz++-catalog.json' and except where noted otherwise Notice: The sponsors names and logos (images) are maybe subject to copyright restrictions. The 'l3montree' word mark and the 'l3montree' logo are registered trademarks. Any unpermitted usage is prohibited. Copyright: Copyright (c) 2024 l3montree GmbH License: AGPL-3.0 diff --git a/cmd/devguard/main.go b/cmd/devguard/main.go index e34686c28..9cac97b98 100644 --- a/cmd/devguard/main.go +++ b/cmd/devguard/main.go @@ -171,19 +171,36 @@ func main() { fx.Invoke(func(lc fx.Lifecycle, db shared.DB) { lc.Append(fx.Hook{ OnStart: func(ctx context.Context) error { - controls, err := vulndbcompliance.LoadGrundschutzControls() - if err != nil { - slog.Error("could not load Grundschutz++ controls", "err", err) - return err - } - if err := db.WithContext(ctx).Clauses(clause.OnConflict{ - Columns: []clause.Column{{Name: "framework"}, {Name: "control_id"}}, - UpdateAll: true, - }).Create(&controls).Error; err != nil { - slog.Error("could not seed Grundschutz++ controls", "err", err) - return err - } - slog.Info("seeded Grundschutz++ controls", "count", len(controls)) + + go func() { + controls, err := vulndbcompliance.LoadGrundschutzControls() + if err != nil { + slog.Error("could not load Grundschutz++ controls", "err", err) + return + } + if err := db.WithContext(context.Background()).Clauses(clause.OnConflict{ + Columns: []clause.Column{{Name: "framework"}, {Name: "control_id"}}, + UpdateAll: true, + }).CreateInBatches(&controls, 100).Error; err != nil { + slog.Error("could not seed Grundschutz++ controls", "err", err) + return + } + slog.Info("seeded Grundschutz++ controls", "count", len(controls)) + + controls, err = vulndbcompliance.LoadSCFControls() + if err != nil { + slog.Error("could not load SCF controls", "err", err) + return + } + if err := db.WithContext(context.Background()).Clauses(clause.OnConflict{ + Columns: []clause.Column{{Name: "framework"}, {Name: "control_id"}}, + UpdateAll: true, + }).CreateInBatches(&controls, 100).Error; err != nil { + slog.Error("could not seed SCF controls", "err", err) + return + } + slog.Info("seeded SCF controls", "count", len(controls)) + }() return nil }, }) diff --git a/controllers/compliance_posture_controller.go b/controllers/compliance_posture_controller.go index 61c867d6d..b446d2352 100644 --- a/controllers/compliance_posture_controller.go +++ b/controllers/compliance_posture_controller.go @@ -96,7 +96,18 @@ func (c *CompliancePostureController) ListPaged(ctx shared.Context) error { return err } - return ctx.JSON(200, postures) + frameworks, err := c.CompliancePostureService.GetAllFrameworkControls(ctx.Request().Context(), nil) + if err != nil { + return err + } + + return ctx.JSON(200, struct { + shared.Paged[dtos.CompliancePostureWithControlDTO] + Frameworks []string `json:"frameworks"` + }{ + Paged: postures, + Frameworks: frameworks, + }) } func (c *CompliancePostureController) Stats(ctx shared.Context) error { @@ -117,7 +128,9 @@ func (c *CompliancePostureController) Stats(ctx shared.Context) error { } } - stats, err := c.CompliancePostureService.GetStatsForAllControls(ctx.Request().Context(), nil, assetVersionName, assetID, projectID, orgID) + filter := shared.GetFilterQuery(ctx) + + stats, err := c.CompliancePostureService.GetStatsForAllControls(ctx.Request().Context(), nil, assetVersionName, assetID, projectID, orgID, filter) if err != nil { return err } diff --git a/database/migrations/20260625000000_add_compliance_frameworks.up.sql b/database/migrations/20260625000000_add_compliance_frameworks.up.sql index c02a89b1b..46b68b19f 100644 --- a/database/migrations/20260625000000_add_compliance_frameworks.up.sql +++ b/database/migrations/20260625000000_add_compliance_frameworks.up.sql @@ -6,6 +6,8 @@ CREATE TABLE IF NOT EXISTS public.frameworks_controls ( title text NOT NULL DEFAULT '', description text NOT NULL DEFAULT '', + importance text DEFAULT '', + class text NOT NULL DEFAULT '', additional jsonb, parent_framework_control_id text, diff --git a/database/migrations/20260707000000_create_mapped_controls.up.sql b/database/migrations/20260707000000_create_mapped_controls.up.sql new file mode 100644 index 000000000..b7f96253f --- /dev/null +++ b/database/migrations/20260707000000_create_mapped_controls.up.sql @@ -0,0 +1,11 @@ +CREATE TABLE IF NOT EXISTS public.mapped_controls ( + framework_control_id text NOT NULL, + related_framework text NOT NULL, + related_control_id text NOT NULL +); + +ALTER TABLE ONLY public.mapped_controls + ADD CONSTRAINT mapped_controls_pkey PRIMARY KEY (framework_control_id, related_framework, related_control_id); + +ALTER TABLE ONLY public.mapped_controls + ADD CONSTRAINT fk_mapped_controls_framework_control FOREIGN KEY (framework_control_id) REFERENCES public.frameworks_controls(framework_control_id) ON DELETE CASCADE; diff --git a/database/models/framework_control_model.go b/database/models/framework_control_model.go index 4daf99cda..ef89801dd 100644 --- a/database/models/framework_control_model.go +++ b/database/models/framework_control_model.go @@ -13,12 +13,25 @@ type FrameworkControl struct { Class string `json:"class"` Description string `json:"description"` + Importance string `json:"importance"` + Framework string `yaml:"framework" json:"framework"` ControlID string `yaml:"controls" json:"controls"` Additional datatypes.JSON `yaml:"additional" json:"additional" gorm:"type:jsonb"` ParentFrameworkControlID *string `json:"parentFrameworkControlId" gorm:"type:text;index"` + + MappedControls []MappedControl `json:"mappedControls" gorm:"foreignKey:FrameworkControlID;references:FrameworkControlID;constraint:OnDelete:CASCADE;"` +} + +type MappedControl struct { + FrameworkControlID string `json:"frameworkControlId" gorm:"type:text;primaryKey;"` + + RelatedFramework string `json:"relatedFramework" gorm:"type:text;primaryKey;"` + RelatedControlID string `json:"relatedControlId" gorm:"type:text;primaryKey;"` + + FrameworkControl FrameworkControl `gorm:"foreignKey:FrameworkControlID;references:FrameworkControlID;constraint:OnDelete:CASCADE;"` } func (m FrameworkControl) TableName() string { diff --git a/database/repositories/compliance_posture_repository.go b/database/repositories/compliance_posture_repository.go index 594e115b9..9dec1e9dd 100644 --- a/database/repositories/compliance_posture_repository.go +++ b/database/repositories/compliance_posture_repository.go @@ -34,6 +34,46 @@ type CompliancePostureRepository struct { utils.Repository[uuid.UUID, models.CompliancePosture, *gorm.DB] } +type frameworkControlPostureRow struct { + models.FrameworkControl + CompliancePostureID string `gorm:"column:id"` + State dtos.VulnState `gorm:"column:state"` + OrgID *uuid.UUID `gorm:"column:org_id"` + ProjectID *uuid.UUID `gorm:"column:project_id"` + AssetID *uuid.UUID `gorm:"column:asset_id"` + AssetVersionName *string `gorm:"column:asset_version_name"` +} + +func (row frameworkControlPostureRow) toDTO() dtos.CompliancePostureWithControlDTO { + mappedControls := make([]dtos.MappedControlDTO, len(row.MappedControls)) + for i, mc := range row.MappedControls { + mappedControls[i] = dtos.MappedControlDTO{ + FrameworkControlID: mc.FrameworkControlID, + RelatedFramework: mc.RelatedFramework, + RelatedControlID: mc.RelatedControlID, + } + } + + return dtos.CompliancePostureWithControlDTO{ + FrameworkControlID: row.FrameworkControlID, + Framework: row.Framework, + ControlID: row.ControlID, + Title: row.Title, + Description: row.Description, + Importance: row.Importance, + Class: row.Class, + Additional: row.Additional, + ParentFrameworkControlID: row.ParentFrameworkControlID, + CompliancePostureID: row.CompliancePostureID, + State: row.State, + OrgID: row.OrgID, + ProjectID: row.ProjectID, + AssetID: row.AssetID, + AssetVersionName: row.AssetVersionName, + MappedControls: mappedControls, + } +} + func NewCompliancePostureRepository(db *gorm.DB) *CompliancePostureRepository { return &CompliancePostureRepository{ db: db, @@ -90,14 +130,12 @@ func (r *CompliancePostureRepository) applyAndSave(ctx context.Context, tx *gorm func (r *CompliancePostureRepository) GetForAllControlsPaged(ctx context.Context, tx *gorm.DB, assetVersionName *string, assetID *uuid.UUID, projectID *uuid.UUID, orgID uuid.UUID, pageInfo shared.PageInfo, search string, filter []shared.FilterQuery, sort []shared.SortQuery) (shared.Paged[dtos.CompliancePostureWithControlDTO], error) { var postures []dtos.CompliancePostureWithControlDTO var count int64 - // Three LEFT JOINs at decreasing specificity; COALESCE picks the most specific match. - // cp_asset: exact match on org+project+asset+assetVersion - // cp_project: match on org+project, asset fields NULL in DB - // cp_org: match on org only, all scope fields NULL in DB + query := r.GetDB(ctx, tx).Model(&models.FrameworkControl{}). Select(`frameworks_controls.framework_control_id, frameworks_controls.title, frameworks_controls.description, + frameworks_controls.importance, frameworks_controls.class, frameworks_controls.additional, frameworks_controls.parent_framework_control_id, @@ -132,16 +170,23 @@ func (r *CompliancePostureRepository) GetForAllControlsPaged(ctx context.Context query = query.Where("(frameworks_controls.title ILIKE ? OR frameworks_controls.control_id ILIKE ? OR frameworks_controls.framework ILIKE ?)", "%"+search+"%", "%"+search+"%", "%"+search+"%") } - // Wrap in a subquery so that filter/sort can reference the aliased columns - // (e.g. "state" from COALESCE) without ambiguity. subquery := r.GetDB(ctx, tx).Table("(?) AS sub", query) for _, f := range filter { - subquery = subquery.Where(f.SQL(), f.Value()) - if f.Field == "state" && f.FieldValue == "open" && f.Operator == "is" { - subquery = subquery.Or("state IS NULL") - } else if f.Field == "state" && f.FieldValue == "open" && f.Operator == "is not" { - subquery = subquery.Where("state IS NOT NULL") + group := r.GetDB(ctx, tx) + switch { + case f.Field == "state" && f.FieldValue == "open" && f.Operator == "is": + subquery = subquery.Where(group.Where(f.SQL(), f.Value()).Or("state IS NULL")) + case f.Field == "state" && f.FieldValue == "open" && f.Operator == "is not": + subquery = subquery.Where(f.SQL(), f.Value()).Where("state IS NOT NULL") + case f.Field == "framework" && f.Operator == "is": + subquery = subquery.Where(group.Where(f.SQL(), f.Value()). + Or("framework_control_id IN (SELECT framework_control_id FROM mapped_controls WHERE related_framework = ?)", f.Value())) + case f.Field == "framework" && f.Operator == "in": + subquery = subquery.Where(group.Where(f.SQL(), f.Value()). + Or("framework_control_id IN (SELECT framework_control_id FROM mapped_controls WHERE related_framework IN (?))", f.Value())) + default: + subquery = subquery.Where(f.SQL(), f.Value()) } } @@ -153,14 +198,25 @@ func (r *CompliancePostureRepository) GetForAllControlsPaged(ctx context.Context return shared.Paged[dtos.CompliancePostureWithControlDTO]{}, err } - if err := subquery.Offset((pageInfo.Page - 1) * pageInfo.PageSize).Limit(pageInfo.PageSize).Find(&postures).Error; err != nil { + var rows []frameworkControlPostureRow + if err := subquery.Model(&frameworkControlPostureRow{}). + Preload("MappedControls"). + Offset((pageInfo.Page - 1) * pageInfo.PageSize). + Limit(pageInfo.PageSize). + Find(&rows).Error; err != nil { return shared.Paged[dtos.CompliancePostureWithControlDTO]{}, err } + postures = make([]dtos.CompliancePostureWithControlDTO, len(rows)) + + for i, row := range rows { + postures[i] = row.toDTO() + } + return shared.NewPaged(pageInfo, count, postures), nil } -func (r *CompliancePostureRepository) GetStatsForAllControls(ctx context.Context, tx *gorm.DB, assetVersionName *string, assetID *uuid.UUID, projectID *uuid.UUID, orgID uuid.UUID) (dtos.CompliancePostureStatsDTO, error) { +func (r *CompliancePostureRepository) GetStatsForAllControls(ctx context.Context, tx *gorm.DB, assetVersionName *string, assetID *uuid.UUID, projectID *uuid.UUID, orgID uuid.UUID, filter []shared.FilterQuery) (dtos.CompliancePostureStatsDTO, error) { type row struct { State *string `gorm:"column:state"` Count int64 `gorm:"column:count"` @@ -168,7 +224,9 @@ func (r *CompliancePostureRepository) GetStatsForAllControls(ctx context.Context var rows []row query := r.GetDB(ctx, tx).Model(&models.FrameworkControl{}). - Select(`COALESCE(cp_asset.state, cp_project.state, cp_org.state) AS state, COUNT(*) AS count`). + Select(`frameworks_controls.framework_control_id, + frameworks_controls.framework, + COALESCE(cp_asset.state, cp_project.state, cp_org.state) AS state`). Joins(`LEFT JOIN compliance_postures cp_asset ON frameworks_controls.framework_control_id = cp_asset.framework_control_id AND cp_asset.org_id = ? @@ -186,10 +244,23 @@ func (r *CompliancePostureRepository) GetStatsForAllControls(ctx context.Context AND cp_org.org_id = ? AND cp_org.project_id IS NULL AND cp_org.asset_id IS NULL - AND cp_org.asset_version_name IS NULL`, orgID). - Group("COALESCE(cp_asset.state, cp_project.state, cp_org.state)") + AND cp_org.asset_version_name IS NULL`, orgID) - if err := query.Scan(&rows).Error; err != nil { + subquery := r.GetDB(ctx, tx).Table("(?) AS sub", query) + // Only the "framework" filter applies here (if present) + for _, f := range filter { + group := r.GetDB(ctx, tx) + switch { + case f.Field == "framework" && f.Operator == "is": + subquery = subquery.Where(group.Where(f.SQL(), f.Value()). + Or("framework_control_id IN (SELECT framework_control_id FROM mapped_controls WHERE related_framework = ?)", f.Value())) + case f.Field == "framework" && f.Operator == "in": + subquery = subquery.Where(group.Where(f.SQL(), f.Value()). + Or("framework_control_id IN (SELECT framework_control_id FROM mapped_controls WHERE related_framework IN (?))", f.Value())) + } + } + + if err := subquery.Select("state, COUNT(*) AS count").Group("state").Scan(&rows).Error; err != nil { return dtos.CompliancePostureStatsDTO{}, err } @@ -248,6 +319,7 @@ func (r *CompliancePostureRepository) GetForControl(ctx context.Context, tx *gor if result.ID != nil { if err := r.GetDB(ctx, tx). Joins("FrameworkControl"). + Preload("FrameworkControl.MappedControls"). Preload("Events"). Where("compliance_postures.id = ?", result.ID). First(&posture).Error; err != nil { @@ -258,8 +330,23 @@ func (r *CompliancePostureRepository) GetForControl(ctx context.Context, tx *gor // No posture exists at any scope — return an empty posture with just the control loaded. posture.FrameworkControlID = controlID - if err := r.GetDB(ctx, tx).Where("framework_control_id = ?", controlID).First(&posture.FrameworkControl).Error; err != nil { + if err := r.GetDB(ctx, tx).Preload("MappedControls").Where("framework_control_id = ?", controlID).First(&posture.FrameworkControl).Error; err != nil { return nil, err } return &posture, nil } + +// GetAllFrameworkControls returns the unique set of framework names present in +func (r *CompliancePostureRepository) GetAllFrameworkControls(ctx context.Context, tx *gorm.DB) ([]string, error) { + var frameworks []string + query := r.GetDB(ctx, tx).Raw(` + SELECT DISTINCT framework FROM frameworks_controls + UNION + SELECT DISTINCT related_framework FROM mapped_controls + ORDER BY framework + `) + if err := query.Scan(&frameworks).Error; err != nil { + return nil, err + } + return frameworks, nil +} diff --git a/dtos/comilance_posture_dto.go b/dtos/comilance_posture_dto.go index b35f48eda..82990d6b3 100644 --- a/dtos/comilance_posture_dto.go +++ b/dtos/comilance_posture_dto.go @@ -47,6 +47,7 @@ type CompliancePostureWithControlDTO struct { ControlID string `json:"controlId"` Title string `json:"title"` Description string `json:"description"` + Importance string `json:"importance"` Class string `json:"class"` Additional datatypes.JSON `json:"additional"` ParentFrameworkControlID *string `json:"parentFrameworkControlId"` @@ -58,6 +59,14 @@ type CompliancePostureWithControlDTO struct { AssetVersionName *string `json:"assetVersionName"` TicketID *string `json:"ticketId"` TicketURL *string `json:"ticketUrl"` + + MappedControls []MappedControlDTO `json:"mappedControls"` +} + +type MappedControlDTO struct { + FrameworkControlID string `json:"frameworkControlId"` + RelatedFramework string `json:"relatedFramework"` + RelatedControlID string `json:"relatedControlId"` } type CompliancePostureWithDetailsDTO struct { diff --git a/services/compliance_posture_service.go b/services/compliance_posture_service.go index 18b3ecdc6..cec71039a 100644 --- a/services/compliance_posture_service.go +++ b/services/compliance_posture_service.go @@ -80,8 +80,8 @@ func (s *compliancePostureService) updateCompliancePostureState(ctx context.Cont return ev, err } -func (s *compliancePostureService) GetStatsForAllControls(ctx context.Context, tx shared.DB, assetVersionName *string, assetID *uuid.UUID, projectID *uuid.UUID, orgID uuid.UUID) (dtos.CompliancePostureStatsDTO, error) { - return s.compliancePostureRepository.GetStatsForAllControls(ctx, tx, assetVersionName, assetID, projectID, orgID) +func (s *compliancePostureService) GetStatsForAllControls(ctx context.Context, tx shared.DB, assetVersionName *string, assetID *uuid.UUID, projectID *uuid.UUID, orgID uuid.UUID, filter []shared.FilterQuery) (dtos.CompliancePostureStatsDTO, error) { + return s.compliancePostureRepository.GetStatsForAllControls(ctx, tx, assetVersionName, assetID, projectID, orgID, filter) } func (s *compliancePostureService) GetForControl(ctx context.Context, tx *gorm.DB, controlID string, assetVersionName *string, assetID *uuid.UUID, projectID *uuid.UUID, orgID uuid.UUID) (*models.CompliancePosture, error) { @@ -99,3 +99,7 @@ func (s *compliancePostureService) GetForControl(ctx context.Context, tx *gorm.D return posture, nil } + +func (s *compliancePostureService) GetAllFrameworkControls(ctx context.Context, tx shared.DB) ([]string, error) { + return s.compliancePostureRepository.GetAllFrameworkControls(ctx, tx) +} diff --git a/shared/common_interfaces.go b/shared/common_interfaces.go index dba549853..695bdb392 100644 --- a/shared/common_interfaces.go +++ b/shared/common_interfaces.go @@ -771,16 +771,18 @@ type CompliancePostureRepository interface { FindOrCreate(ctx context.Context, tx DB, posture models.CompliancePosture) (*models.CompliancePosture, error) GetForAllControlsPaged(ctx context.Context, tx DB, assetVersionName *string, assetID *uuid.UUID, projectID *uuid.UUID, orgID uuid.UUID, pageInfo PageInfo, search string, filter []FilterQuery, sort []SortQuery) (Paged[dtos.CompliancePostureWithControlDTO], error) - GetStatsForAllControls(ctx context.Context, tx DB, assetVersionName *string, assetID *uuid.UUID, projectID *uuid.UUID, orgID uuid.UUID) (dtos.CompliancePostureStatsDTO, error) + GetStatsForAllControls(ctx context.Context, tx DB, assetVersionName *string, assetID *uuid.UUID, projectID *uuid.UUID, orgID uuid.UUID, filter []FilterQuery) (dtos.CompliancePostureStatsDTO, error) GetForControl(ctx context.Context, tx DB, controlID string, assetVersionName *string, assetID *uuid.UUID, projectID *uuid.UUID, orgID uuid.UUID) (*models.CompliancePosture, error) + GetAllFrameworkControls(ctx context.Context, tx DB) ([]string, error) } type CompliancePostureService interface { UpdateCompliancePostureState(ctx context.Context, tx DB, userID string, posture *models.CompliancePosture, statusType string, justification string, mechanicalJustification dtos.MechanicalJustificationType, userAgent *string) (models.VulnEvent, error) GetForAllControlsPaged(ctx context.Context, tx DB, assetVersionName *string, assetID *uuid.UUID, projectID *uuid.UUID, orgID uuid.UUID, pageInfo PageInfo, search string, filter []FilterQuery, sort []SortQuery) (Paged[dtos.CompliancePostureWithControlDTO], error) - GetStatsForAllControls(ctx context.Context, tx DB, assetVersionName *string, assetID *uuid.UUID, projectID *uuid.UUID, orgID uuid.UUID) (dtos.CompliancePostureStatsDTO, error) + GetStatsForAllControls(ctx context.Context, tx DB, assetVersionName *string, assetID *uuid.UUID, projectID *uuid.UUID, orgID uuid.UUID, filter []FilterQuery) (dtos.CompliancePostureStatsDTO, error) GetForControl(ctx context.Context, tx DB, controlID string, assetVersionName *string, assetID *uuid.UUID, projectID *uuid.UUID, orgID uuid.UUID) (*models.CompliancePosture, error) + GetAllFrameworkControls(ctx context.Context, tx DB) ([]string, error) } type RBACProvider interface { diff --git a/transformer/compliance_posture_transformer.go b/transformer/compliance_posture_transformer.go index 06a033b8f..1ea5858d0 100644 --- a/transformer/compliance_posture_transformer.go +++ b/transformer/compliance_posture_transformer.go @@ -30,6 +30,15 @@ func mustMarshalJSON(v any) datatypes.JSON { func CompliancePostureToDTO(c models.CompliancePosture) dtos.CompliancePostureWithDetailsDTO { + mappedControls := make([]dtos.MappedControlDTO, len(c.FrameworkControl.MappedControls)) + for i, m := range c.FrameworkControl.MappedControls { + mappedControls[i] = dtos.MappedControlDTO{ + FrameworkControlID: m.FrameworkControlID, + RelatedFramework: m.RelatedFramework, + RelatedControlID: m.RelatedControlID, + } + } + p := dtos.CompliancePostureWithControlDTO{ FrameworkControlID: c.FrameworkControlID, CompliancePostureID: c.ID.String(), @@ -47,6 +56,7 @@ func CompliancePostureToDTO(c models.CompliancePosture) dtos.CompliancePostureWi State: c.State, TicketID: c.TicketID, TicketURL: c.TicketURL, + MappedControls: mappedControls, } events := make([]dtos.VulnEventDTO, len(c.Events)) for i, e := range c.Events { diff --git a/vulndb/compliance/Grundschutz++_License.md b/vulndb/compliance/Grundschutz++_License.md new file mode 100644 index 000000000..f5cfd0c1f --- /dev/null +++ b/vulndb/compliance/Grundschutz++_License.md @@ -0,0 +1,11 @@ +# Legal Notice for DevGuard Users + +DevGuard includes control data derived from the "Stand der Technik Bibliothek" (Grundschutz++), created and maintained by the Bundesamt für Sicherheit in der Informationstechnik (BSI). This content is used here to power DevGuard's compliance posture features. + +This content is **not** covered by DevGuard's own AGPL license. It remains licensed separately by the BSI under the Creative Commons Attribution-ShareAlike 4.0 International License (CC BY-SA 4.0), and that license continues to apply in full to this content as distributed with DevGuard. Under the ShareAlike term, any distribution of this content (including modified versions) must remain under CC BY-SA 4.0 or a compatible license. + +Attribution: Control content is based on the "Stand der Technik Bibliothek" by the Bundesamt für Sicherheit in der Informationstechnik (BSI). + +- Source: https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek +- License: https://github.com/BSI-Bund/Stand-der-Technik-Bibliothek/blob/main/LICENSE +- License text: https://creativecommons.org/licenses/by-sa/4.0/legalcode diff --git a/vulndb/compliance/SCF.json b/vulndb/compliance/SCF.json new file mode 100644 index 000000000..4851d3a59 --- /dev/null +++ b/vulndb/compliance/SCF.json @@ -0,0 +1,898622 @@ +{ + "catalog": { + "uuid": "9af02c42-633c-452b-afb0-23e9cf23267d", + "metadata": { + "title": "SCF 2025.3 Controls Catalog", + "version": "2025.3", + "oscal-version": "1.0.4", + "last-modified": "2026-04-08T22:12:50.115Z" + }, + "groups": [ + { + "id": "security-compliance-resilience-governance", + "title": "Security, Compliance & Resilience Governance", + "controls": [ + { + "id": "GOV-01", + "title": "Security, Compliance & Resilience Program (SCRP)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "GOV-01" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management.1", + "value": "3.5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management.2", + "value": "3.5.3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to facilitate the implementation of security, compliance and resilience governance controls." + }, + { + "name": "assessment-objective", + "id": "GOV-01_GOV-01_A01", + "prose": "an organization-wide cybersecurity / data privacy governance program is developed." + }, + { + "name": "assessment-objective", + "id": "GOV-01_GOV-01_A02", + "prose": "the cybersecurity / data privacy governance program addresses management commitment." + }, + { + "name": "assessment-objective", + "id": "GOV-01_GOV-01_A03", + "prose": "the cybersecurity / data privacy governance program addresses statutory, regulatory and/or contractual compliance obligations." + }, + { + "name": "assessment-objective", + "id": "GOV-01_GOV-01_A04", + "prose": "the cybersecurity / data privacy governance program is protected from unauthorized disclosure." + }, + { + "name": "assessment-objective", + "id": "GOV-01_GOV-01_A05", + "prose": "the cybersecurity / data privacy governance program is protected from unauthorized modification." + }, + { + "name": "assessment-objective", + "id": "GOV-01_GOV-01_A06", + "prose": "the cybersecurity / data privacy governance program is disseminated." + }, + { + "name": "assessment-objective", + "id": "GOV-01_GOV-01_A07", + "prose": "the cybersecurity / data privacy governance program provides an overview of the requirements for the security program." + }, + { + "name": "assessment-objective", + "id": "GOV-01_GOV-01_A08", + "prose": "the cybersecurity / data privacy governance program provides a description of the security program management controls in place or planned for meeting those requirements." + }, + { + "name": "assessment-objective", + "id": "GOV-01_GOV-01_A09", + "prose": "the cybersecurity / data privacy governance program provides a description of the common controls in place or planned for meeting those requirements." + }, + { + "name": "assessment-objective", + "id": "GOV-01_GOV-01_A10", + "prose": "the cybersecurity / data privacy governance program includes the identification and assignment of roles." + }, + { + "name": "assessment-objective", + "id": "GOV-01_GOV-01_A11", + "prose": "the cybersecurity / data privacy governance program includes the identification and assignment of responsibilities." + }, + { + "name": "assessment-objective", + "id": "GOV-01_GOV-01_A12", + "prose": "the cybersecurity / data privacy governance program addresses coordination among organizational entities." + }, + { + "name": "assessment-objective", + "id": "GOV-01_GOV-01_A13", + "prose": "the cybersecurity / data privacy governance program reflects the coordination among the organizational entities responsible for cybersecurity / data privacy." + }, + { + "name": "assessment-objective", + "id": "GOV-01_GOV-01_A14", + "prose": "the cybersecurity / data privacy governance program is approved by a senior official with responsibility and accountability for the risk being incurred to organizational operations." + }, + { + "name": "assessment-objective", + "id": "GOV-01_GOV-01_A15", + "prose": "the frequency at which to review / update the organization-wide cybersecurity / data privacy governance program is defined." + }, + { + "name": "assessment-objective", + "id": "GOV-01_GOV-01_A16", + "prose": "events that trigger the review / update of the organization-wide cybersecurity / data privacy governance program are defined." + }, + { + "name": "assessment-objective", + "id": "GOV-01_GOV-01_A17", + "prose": "the cybersecurity / data privacy governance program is reviewed / updated frequently." + }, + { + "name": "assessment-objective", + "id": "GOV-01_GOV-01_A18", + "prose": "the cybersecurity / data privacy governance program is reviewed / updated following events." + }, + { + "name": "assessment-objective", + "id": "GOV-01_GOV-01_A19", + "prose": "cybersecurity & data protection governance operations are conducted according to documented policies, standards, procedures and/or other organizational directives." + }, + { + "name": "assessment-objective", + "id": "GOV-01_GOV-01_A20", + "prose": "adequate resources (e.g., people, processes, technologies, data and/or facilities) are provided to support cybersecurity & data protection governance operations." + }, + { + "name": "assessment-objective", + "id": "GOV-01_GOV-01_A21", + "prose": "responsibility and authority for the performance of cybersecurity & data protection governance-related activities are assigned to designated personnel." + }, + { + "name": "assessment-objective", + "id": "GOV-01_GOV-01_A22", + "prose": "personnel performing cybersecurity & data protection governance-related activities have the skills and knowledge needed to perform their assigned duties." + }, + { + "name": "overview", + "class": "errata", + "prose": "- renamed\r\n- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:edm01.02" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo01.09" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo04.01" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo13.01" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo13.03" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_2" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_12" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:grc-01" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:grc-05" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:gvn-01" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:gvn-02" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:org-1.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_4.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_5.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_5.1-a" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_5.1-b" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_5.1-c" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_5.1-d" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_5.1-e" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_5.1-f" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_5.1-g" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_5.1-h" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.1.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.1.1-a" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.1.1-b" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.1.1-c" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.1.1-d" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.1.1-e-1" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.1.1-e-2" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_8.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_10.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.37" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_5.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_5.1.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_7.2.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_12.1.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.37" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_5.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_6.1.3-c" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_7.5.1" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_5.1" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_5.3" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_7.5.1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_7.5.1-a" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_7.5.1-b" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_7.5.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_7.5.3" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_7.5.3-a" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_7.5.3-b" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:govern-1.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:govern-1.2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-1.2-002" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-1.4-001" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-1.4-002" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:govern-4.1" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:id-p" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:id.be-p" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:gv-p" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:gv.po-p1" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:gv.po-p6" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:cm-p" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:cm.po-p" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:pr-p" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:pr.pt-p" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:pm-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pm-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pm-01" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.316-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pm-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pm-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pm-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pm-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.15.01.a" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.rm-01" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.rm-03" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.rr-01" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-01" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-03" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-09" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.ra" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ir" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:a3.1.2" + } + ] + }, + { + "id": "GOV-01.1", + "title": "Steering Committee & Program Oversight", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "GOV-01.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management", + "value": "3.3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to align security, compliance and resilience capabilities with business requirements through a steering committee or advisory board, comprised of key cybersecurity, data protection and business executives, which meets formally and on a regular basis." + }, + { + "name": "assessment-objective", + "id": "GOV-01.1_GOV-01.1_A01", + "prose": "an executive steering committee, or advisory board, is formed and is comprised of key cybersecurity, technology, risk, privacy and business executives." + }, + { + "name": "assessment-objective", + "id": "GOV-01.1_GOV-01.1_A02", + "prose": "the executive steering committee, or advisory board, coordinates cybersecurity, technology, risk, privacy and business alignment through recurring, formal meetings." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo14.01" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss06.01" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:mea01.04" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:mea03.02" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:mea04.03" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_1" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_2" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_5.1" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_5.1-a" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_5.1-b" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_5.1-c" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_5.1-d" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_5.1-e" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_5.1-f" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_5.1-g" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_5.1-h" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_9.3.1" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_9.3.2" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_9.3.2-a" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_9.3.2-b" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_9.3.2-c" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_9.3.2-c-1" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_9.3.2-c-2" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_9.3.2-c-3" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_9.3.2-d" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_9.3.2-e" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_9.3.2-f" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_9.3.2-g" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_9.3.2-h" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_9.3.2-i" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_9.3.2-j" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_9.3.2-k" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_9.3.3.1" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_9.3.3.1-a" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_9.3.3.1-b" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_9.3.3.1-c" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_9.3.3.1-d" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_9.3.3.2" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_9.3.3.2-a" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_9.3.3.2-b" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_4.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_5.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_5.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_5.3-a" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_5.3-b" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_9.3.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_9.3.2-a" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_9.3.2-b" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_9.3.2-c" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_9.3.2-d" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_9.3.2-d-1" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_9.3.2-d-2" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_9.3.2-d-3" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_9.3.2-d-4" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_9.3.2-e" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_9.3.2-f" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_9.3.2-g" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_9.3.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_10.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_5.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_7.2.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_5.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_9.3.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_9.3.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_9.3.2-a" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_9.3.2-b" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_9.3.2-c" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_9.3.2-d" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_9.3.2-e" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_9.3.3" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_5.2" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_5.4.2" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_5.4.3" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_9.2.2-c" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_9.3.1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_9.3.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_9.3.2-a" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_9.3.2-b" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_9.3.2-c" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_9.3.2-d" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_9.3.2-d-1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_9.3.2-d-2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_9.3.2-d-3" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_9.3.2-e" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-2.3" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:map-3.5" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:map-5.2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-1.3-004" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.12.03" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.rm-01" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.rm-03" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.rr-01" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.ov" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.ov-01" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.ov-02" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.ov-03" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-01" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-03" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-09" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.ra" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ir" + }, + { + "rel": "part-of", + "href": "#GOV-01" + } + ] + }, + { + "id": "GOV-01.2", + "title": "Status Reporting To Governing Body", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "GOV-01.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management", + "value": "3.3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to provide governance oversight reporting and recommendations to those entrusted to make executive decisions about matters considered material to the organization's Security, Compliance & Resilience Program (SCRP)." + }, + { + "name": "assessment-objective", + "id": "GOV-01.2_GOV-01.2_A01", + "prose": "the executive steering committee, or advisory board, makes executive decisions about matters considered material to the organization's cybersecurity / data privacy program." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai01.06" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_2" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.4-a" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.4-b" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.4-c" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.4-d" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_9.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_9.1-a" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_9.1-b" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_9.1-c" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_9.1-d" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_9.1-e" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_9.1-f" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_9.3.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_9.3.2-a" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_9.3.2-b" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_9.3.2-c" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_9.3.2-d" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_9.3.2-d-1" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_9.3.2-d-2" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_9.3.2-d-3" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_9.3.2-d-4" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_9.3.2-e" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_9.3.2-f" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_9.3.2-g" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_9.3.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_5.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_5.3-b" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_9.3.1" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_5.2" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_6.6" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_5.1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_9.3.3" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-2.3" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:map-3.5" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:pr.po-p6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.12.03" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.ov" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.ov-01" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.ov-03" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-09" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id" + }, + { + "rel": "part-of", + "href": "#GOV-01" + } + ] + }, + { + "id": "GOV-01.3", + "title": "Commitment To Continual Improvements", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to commit appropriate resources needed for continual improvement of the organization's Security, Compliance & Resilience Program (SCRP), including:\r\n(1) Staffing;\r\n(2) Budget;\r\n(3) Processes; and\r\n(4) Technologies." + }, + { + "name": "assessment-objective", + "id": "GOV-01.3_GOV-01.3_A01", + "prose": "the organization commits appropriate financial resources needed for continual improvement of the organization's cybersecurity & data privacy program." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo14.01" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_2" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-05-08" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_5.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_7.2.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_5.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_9.3.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_10.1" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_5.2" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:pr.po-p5" + }, + { + "rel": "part-of", + "href": "#GOV-01" + } + ] + }, + { + "id": "GOV-02", + "title": "Publishing Security, Compliance & Resilience Documentation", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "GOV-02" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management.1", + "value": "3.5.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management.2", + "value": "3.5.3.8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management.3", + "value": "3.5.3.9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to establish, maintain and disseminate policies, standards and procedures necessary for secure, compliant and resilient capabilities." + }, + { + "name": "assessment-objective", + "id": "GOV-02_GOV-02_A01", + "prose": "cybersecurity / data privacy policies are developed and documented." + }, + { + "name": "assessment-objective", + "id": "GOV-02_GOV-02_A02", + "prose": "policies needed to satisfy the security requirements for the protection of sensitive / regulated data are developed and documented." + }, + { + "name": "assessment-objective", + "id": "GOV-02_GOV-02_A03", + "prose": "policies needed to satisfy the security requirements for the protection of sensitive / regulated data are disseminated to organizational personnel or roles." + }, + { + "name": "assessment-objective", + "id": "GOV-02_GOV-02_A04", + "prose": "procedures needed to satisfy the security requirements for the protection of sensitive / regulated data are developed and documented." + }, + { + "name": "assessment-objective", + "id": "GOV-02_GOV-02_A05", + "prose": "procedures needed to satisfy the security requirements for the protection of sensitive / regulated data are disseminated to organizational personnel or roles." + }, + { + "name": "assessment-objective", + "id": "GOV-02_GOV-02_A06", + "prose": "the cybersecurity / data privacy policies address purpose." + }, + { + "name": "assessment-objective", + "id": "GOV-02_GOV-02_A07", + "prose": "the cybersecurity / data privacy policies address scope." + }, + { + "name": "assessment-objective", + "id": "GOV-02_GOV-02_A08", + "prose": "the cybersecurity / data privacy policies address roles." + }, + { + "name": "assessment-objective", + "id": "GOV-02_GOV-02_A09", + "prose": "the cybersecurity / data privacy policies address responsibilities." + }, + { + "name": "assessment-objective", + "id": "GOV-02_GOV-02_A10", + "prose": "the cybersecurity / data privacy policies address management commitment." + }, + { + "name": "assessment-objective", + "id": "GOV-02_GOV-02_A11", + "prose": "the cybersecurity / data privacy policies address coordination among organizational entities." + }, + { + "name": "assessment-objective", + "id": "GOV-02_GOV-02_A12", + "prose": "the cybersecurity / data privacy policies address compliance." + }, + { + "name": "assessment-objective", + "id": "GOV-02_GOV-02_A13", + "prose": "the cybersecurity / data privacy policies are consistent with applicable laws, regulations and contractual obligations." + }, + { + "name": "assessment-objective", + "id": "GOV-02_GOV-02_A14", + "prose": "personnel or roles to whom the cybersecurity / data privacy policies are to be disseminated is/are defined." + }, + { + "name": "assessment-objective", + "id": "GOV-02_GOV-02_A15", + "prose": "the cybersecurity / data privacy policies are disseminated to personnel or roles." + }, + { + "name": "assessment-objective", + "id": "GOV-02_GOV-02_A16", + "prose": "the official is designated to manage the development, documentation and dissemination of the cybersecurity / data privacy policies and procedures." + }, + { + "name": "assessment-objective", + "id": "GOV-02_GOV-02_A17", + "prose": "an official to manage the governance of cybersecurity / data privacy policies and procedures is defined." + }, + { + "name": "assessment-objective", + "id": "GOV-02_GOV-02_A18", + "prose": "policies needed to satisfy the security requirements for the protection of CUI are developed and documented." + }, + { + "name": "assessment-objective", + "id": "GOV-02_GOV-02_A19", + "prose": "policies needed to satisfy the security requirements for the protection of CUI are disseminated to organizational personnel or roles." + }, + { + "name": "assessment-objective", + "id": "GOV-02_GOV-02_A20", + "prose": "procedures needed to satisfy the security requirements for the protection of CUI are developed and documented." + }, + { + "name": "assessment-objective", + "id": "GOV-02_GOV-02_A21", + "prose": "procedures needed to satisfy the security requirements for the protection of CUI are disseminated to organizational personnel or roles." + }, + { + "name": "overview", + "class": "errata", + "prose": "- renamed\r\n- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo01.09" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_12" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:a-a-01" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:ais-01" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:bcr-01" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:ccc-01" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:cek-01" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dcs-01" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dsp-01" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:grc-01" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:iam-01" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:iam-02" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:ipy-01" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:i-s-01" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:log-01" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:sef-01" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:sef-02" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:sta-01" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:tvm-01" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:tvm-02" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:tvm-04" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:uem-01" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:gvn-01" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:gvn-02" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:pol-03" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-05-01" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-05-01-a" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-05-01-b" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-05-02" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-05-02-a" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-05-02-b" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-05-03" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-05-04" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-05-05" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-05-05-a" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-05-05-b" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_5.2.1" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_5.2.1-a" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_5.2.1-b" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_5.2.1-c" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_5.2.1-d" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_5.2.2" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_5.2.2-a" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_5.2.2-b" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_5.2.2-c" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_5.1-a" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_5.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_5.2-a" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_5.2-b" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_5.2-c" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_5.2-d" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_5.2-e" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_5.2-f" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_5.2-g" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.5.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.5.1-a" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.5.1-b" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.5.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.5.2-a" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.5.2-b" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.5.2-c" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.5.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.5.3-a" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.5.3-b" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.5.3-c" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.5.3-d" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.5.3-e" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.5.3-f" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.37" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_5.1.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_12.1.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.37" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_5.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_5.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_5.2-a" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_5.2-b" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_5.2-c" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_5.2-d" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_6.1.3-c" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_7.5.1-b" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_7.5.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_7.5.3" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_5.4.5" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_6.2" + }, + { + "rel": "mapped-to", + "href": "#iso-31010-2009:_4.3.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_5.1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_5.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_5.2-a" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_5.2-b" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_5.2-c" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_5.2-d" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_7.5.1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_7.5.1-a" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_7.5.1-b" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_7.5.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_7.5.3" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_7.5.3-a" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_7.5.3-b" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.2.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.2.3" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-1.0" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-1.2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-1.3" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-1.4" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-3.2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-4.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-5.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-6.0" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-6.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:map-3.5" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-1.5-002" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:id.de-p1" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:gv.po-p" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:gv.po-p1" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:gv.po-p6" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:gv.mt-p" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:gv.mt-p4" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:gv.mt-p5" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:gv.mt-p6" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:gv.mt-p7" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:ct.po-p" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:ct.po-p1" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:ct.po-p2" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:ct.po-p3" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:cm.po-p1" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:pr.po-p" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:pr.po-p4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-37-r2:task-p-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:pm-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:at-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:au-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ca-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cm-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ia-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ir-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ma-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:mp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pe-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pl-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pm-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ps-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pt-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ra-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sr-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ac-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:at-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:au-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ca-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:cm-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:cp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ia-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ir-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ma-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:mp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pe-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pl-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pm-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ps-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pt-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ra-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sa-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sc-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:si-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sr-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ac-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:at-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:au-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ca-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:cm-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:cp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ia-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ir-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ma-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:mp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:pe-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:pl-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ps-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ra-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:sa-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:sc-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:si-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:sr-01" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.308-a-1" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.308-a-3" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.308-a-4" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.308-a-6" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.308-a-7" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.310-a" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.310-b" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.310-d" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.312-a" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.312-c" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.316-a" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.316-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:at-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:au-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ca-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cm-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ia-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ir-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ma-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:mp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pe-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pl-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pm-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ps-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pt-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ra-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sr-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ac-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:at-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:au-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ca-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:cm-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:cp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ia-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ir-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ma-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:mp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pe-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pl-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pm-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ps-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ra-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:sa-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:sc-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:si-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:sr-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ac-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:at-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:au-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ca-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:cm-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:cp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ia-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ir-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ma-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:mp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pe-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pl-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pm-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ps-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ra-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sa-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sc-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:si-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sr-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ac-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:at-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:au-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ca-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cm-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ia-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ir-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ma-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:mp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pe-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pl-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pm-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ps-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ra-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sa-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sc-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:si-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sr-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ac-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:at-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:au-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ca-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:cm-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:cp-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ia-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ir-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ma-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:mp-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pe-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pl-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ps-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ra-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sc-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:si-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sr-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:ac-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:at-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:au-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:ca-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:cm-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:cp-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:ia-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:ir-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:ma-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:mp-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:pe-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:pl-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:ps-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:ra-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:sc-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:si-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:sr-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:ac-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:ir-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:ma-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:ps-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:ac-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:at-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:au-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:ca-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:cm-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:cp-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:ia-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:ir-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:ma-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:mp-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:pe-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:ps-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:ra-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:sc-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:si-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:sr-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ac-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:at-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:au-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ca-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:cm-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:cp-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ia-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ir-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ma-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:mp-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:pe-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:pl-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ps-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ra-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sc-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:si-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sr-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ac-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:au-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ca-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:cm-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:cp-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ia-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ir-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ma-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:pe-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ps-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ra-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sc-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:si-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sr-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.15.01.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.4.9-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.9.2-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.15.01.a-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.15.01.a-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.15.01.a-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.15.01.a-04" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.po" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.po-01" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-01" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-03" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.ra" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_2.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_3.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_3.7.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_3.7.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_3.7.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_3.7.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_3.7.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_3.7.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_3.7.8" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_4.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_5.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_7.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.3.8" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_3.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_2.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_3.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_4.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_5.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_6.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.3.8" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_12.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_12.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_12.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_3.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_12.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_12.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_12.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_3.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_8.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_9.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_12.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_12.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_12.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_2.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_3.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_5.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.3.8" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_9.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_10.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_12.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_12.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_12.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_2.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_3.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_8.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_9.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_12.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_12.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_2.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_3.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_3.7.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_3.7.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_3.7.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_3.7.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_3.7.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_3.7.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_3.7.8" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_4.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_5.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_7.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.3.8" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_11.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_2.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_3.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_3.7.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_3.7.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_3.7.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_3.7.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_3.7.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_3.7.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_3.7.8" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_4.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_5.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_7.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.3.8" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-p2pe:_3.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-p2pe:_9.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-p2pe:_12.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-p2pe:_12.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-p2pe:_12.1.3" + } + ] + }, + { + "id": "GOV-02.1", + "title": "Exception Management", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "GOV-02.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to prohibit exceptions to standards, except when the exception has been formally assessed for risk impact, approved and recorded." + }, + { + "name": "assessment-objective", + "id": "GOV-02.1_GOV-02.1_A01", + "prose": "exception requests to standards are formally submitted for review, along with a business justification for the deviation and proposed compensating controls." + }, + { + "name": "assessment-objective", + "id": "GOV-02.1_GOV-02.1_A02", + "prose": "the exception request undergoes a risk assessment to evaluate the business justification and proposed compensating controls." + }, + { + "name": "assessment-objective", + "id": "GOV-02.1_GOV-02.1_A03", + "prose": "a documented determination is made to approve or deny the exception request." + }, + { + "name": "assessment-objective", + "id": "GOV-02.1_GOV-02.1_A04", + "prose": "the requestor of the exception is provided a response on the determination including required actions, if applicable." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss06.04" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:ccc-08" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:grc-04" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.ra-07" + }, + { + "rel": "part-of", + "href": "#GOV-02" + } + ] + }, + { + "id": "GOV-03", + "title": "Periodic Review & Update of Security, Compliance & Resilience Program", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "GOV-03" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to review the Security, Compliance & Resilience Program (SCRP), including policies, standards and procedures, at planned intervals or if significant changes occur to ensure their continuing suitability, adequacy and effectiveness." + }, + { + "name": "assessment-objective", + "id": "GOV-03_GOV-03_A01", + "prose": "the frequency at which the policies and procedures for satisfying security requirements are reviewed and updated is defined." + }, + { + "name": "assessment-objective", + "id": "GOV-03_GOV-03_A02", + "prose": "policies and procedures are reviewed / updated per an organization-defined frequency." + }, + { + "name": "assessment-objective", + "id": "GOV-03_GOV-03_A03", + "prose": "events that would require the current cybersecurity / data privacy policies to be reviewed / updated are defined." + }, + { + "name": "assessment-objective", + "id": "GOV-03_GOV-03_A04", + "prose": "policies and procedures are reviewed ." + }, + { + "name": "assessment-objective", + "id": "GOV-03_GOV-03_A05", + "prose": "policies and procedures are updated ." + }, + { + "name": "overview", + "class": "errata", + "prose": "- renamed\r\n- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:edm01.01" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:edm01.03" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:edm05.01" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo02.02" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo14.01" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:mea03.02" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_12" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:a-a-01" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:ais-01" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:bcr-01" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:ccc-01" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:cek-01" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dcs-01" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:grc-03" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:iam-01" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:iam-02" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:ipy-01" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:i-s-01" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:log-01" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:sef-01" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:sef-02" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:sta-01" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:tvm-01" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:tvm-02" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:tvm-04" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:uem-01" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.5.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.5.2-a" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.5.2-b" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.5.2-c" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.37" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_5.1.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_5.1.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_12.1.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.37" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_7.5.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.2.4" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:gv.mt-p2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:pm-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:at-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:au-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ca-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cm-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ia-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ir-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ma-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:mp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pe-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pl-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pm-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ps-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pt-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ra-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sr-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ac-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:at-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:au-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ca-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:cm-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:cp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ia-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ir-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ma-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:mp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pe-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pl-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pm-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ps-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pt-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ra-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sa-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sc-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:si-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sr-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ac-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:at-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:au-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ca-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:cm-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:cp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ia-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ir-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ma-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:mp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:pe-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:pl-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ps-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ra-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:sa-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:sc-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:si-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:sr-01" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.316-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:at-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:au-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ca-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cm-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ia-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ir-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ma-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:mp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pe-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pl-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pm-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ps-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pt-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ra-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sr-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ac-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:au-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ca-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:cm-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:cp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ia-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ir-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ma-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:mp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pe-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pl-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pm-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ps-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ra-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:sa-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:sc-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:si-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:sr-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ac-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:au-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ca-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:cm-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:cp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ia-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ir-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ma-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:mp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pe-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pl-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pm-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ps-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ra-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sa-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sc-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:si-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sr-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ac-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:au-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ca-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cm-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ia-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ir-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ma-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:mp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pe-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pl-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pm-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ps-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ra-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sa-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sc-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:si-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sr-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ac-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:at-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:au-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ca-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:cm-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:cp-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ia-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ir-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ma-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:mp-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pe-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pl-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ps-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pt-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ra-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sa-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sc-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:si-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sr-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:ac-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:at-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:au-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:ca-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:cm-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:cp-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:ia-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:ir-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:ma-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:mp-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:pe-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:pl-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:ps-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:ra-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:sa-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:sc-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:si-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:sr-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:ac-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:ir-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:ma-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:ps-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:pt-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:ac-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:at-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:au-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:ca-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:cm-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:cp-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:ia-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:ir-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:ma-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:mp-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:pe-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:ps-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:pt-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:ra-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:sa-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:sc-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:si-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:sr-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ac-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:at-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:au-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ca-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:cm-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:cp-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ia-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ir-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ma-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:mp-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:pe-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:pl-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ps-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:pt-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ra-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sa-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sc-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:si-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sr-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ac-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:au-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ca-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:cm-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:cp-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ia-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ir-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ma-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:pe-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ps-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:pt-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ra-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sa-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sc-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:si-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sr-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.15.01.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.15.03.d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.15.01.odp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.15.01.b-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.15.01.b-02" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.po-02" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.ov" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.ov-01" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.ov-02" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_2.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_3.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_4.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_5.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_7.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_3.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_2.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_3.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_4.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_5.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_6.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_12.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_12.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_3.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_12.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_12.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_3.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_8.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_9.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_12.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_12.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_2.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_3.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_5.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_9.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_10.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_12.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_12.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_2.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_3.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_8.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_9.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_12.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_12.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_2.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_3.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_4.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_5.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_7.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_11.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_2.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_3.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_4.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_5.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_7.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-p2pe:_3.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-p2pe:_9.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-p2pe:_12.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-p2pe:_12.1.2" + } + ] + }, + { + "id": "GOV-04", + "title": "Assigned Security, Compliance & Resilience Responsibilities", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "GOV-04" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management.1", + "value": "3.3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management.2", + "value": "3.5.1.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management.3", + "value": "3.5.1.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to assign one or more qualified individuals with the mission and resources to centrally-manage, coordinate, develop, implement and maintain an enterprise-wide Security, Compliance & Resilience Program (SCRP)." + }, + { + "name": "assessment-objective", + "id": "GOV-04_GOV-04_A01", + "prose": "a senior organizational cybersecurity position is appointed." + }, + { + "name": "assessment-objective", + "id": "GOV-04_GOV-04_A02", + "prose": "the senior organizational cybersecurity position is provided with the mission and resources to coordinate, develop, implement and maintain an organization-wide cybersecurity program." + }, + { + "name": "overview", + "class": "errata", + "prose": "- renamed\r\n- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo01.05" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_1" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_3" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_5" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:grc-06" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:gvn-01" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_5.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_5.1-f" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_5.1-h" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_5.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_5.3-a" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_5.3-b" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_5.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_6.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_6.1.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_7.2.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_5.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_5.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_5.3-a" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_5.2" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_5.4.3" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_5.3" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_5.3-a" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_5.3-b" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.3.2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-1.3" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-2.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-2.3" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-5.0" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:gv.po-p3" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:cm.po-p2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-37-r2:task-p-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:pl-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:pm-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:pm-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pl-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pm-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pm-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pm-29" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pl-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pm-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pm-29" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.308-a-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pl-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pm-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pm-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pm-29" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pm-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pm-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pm-29" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pm-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pm-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pm-29" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pm-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pm-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pm-29" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pl-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pm-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pm-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pm-29" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:pl-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:pm-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:pm-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:pm-29" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:pl-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:pm-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:pm-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:po.2.3" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.rm" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.rm-05" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.rr-01" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.rr-02" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_2.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_3.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_4.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_5.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_7.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.1.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:a3.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:a3.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_12.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_12.1.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_12.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_12.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_12.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_2.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_3.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_4.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_5.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_7.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_11.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.1.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_2.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_3.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_5.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_7.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.1.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-p2pe:_12.1.3" + } + ] + }, + { + "id": "GOV-04.1", + "title": "Stakeholder Accountability Structure", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "GOV-04.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management.1", + "value": "3.3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management.2", + "value": "3.5.1.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to enforce an accountability structure so that appropriate teams and individuals are empowered, responsible and trained for mapping, measuring and managing Technology Assets, Applications, Services and/or Data (TAASD)-related risks." + }, + { + "name": "assessment-objective", + "id": "GOV-04.1_GOV-04.1_A01", + "prose": "the cybersecurity / data privacy governance program includes the identification and assignment of roles." + }, + { + "name": "assessment-objective", + "id": "GOV-04.1_GOV-04.1_A02", + "prose": "the cybersecurity / data privacy governance program includes the identification and assignment of responsibilities." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai01.03" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_3" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_5" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:grc-06" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:gvn-01" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_5.3" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_5.3-a" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_5.3-b" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.4.2.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_5.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_7.2.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_5.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_5.3-a" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_5.2" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_5.4.2" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_5.4.3" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_5.1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.3" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-1.3" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-2.0" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-2.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-5.0" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:manage-2.4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-37-r2:task-p-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:po.2.3" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.rm-05" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.rr-01" + }, + { + "rel": "part-of", + "href": "#GOV-04" + } + ] + }, + { + "id": "GOV-04.2", + "title": "Authoritative Chain of Command", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management.1", + "value": "3.3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management.2", + "value": "3.5.1.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to establish an authoritative chain of command with clear lines of communication to remove ambiguity from individuals and teams related to managing Technology Assets, Applications, Services and/or Data (TAASD)-related risks." + }, + { + "name": "assessment-objective", + "id": "GOV-04.2_GOV-04.2_A01", + "prose": "a formal organization structure is published." + }, + { + "name": "assessment-objective", + "id": "GOV-04.2_GOV-04.2_A02", + "prose": "an individual's chain of command is clearly delineated." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_3" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_5" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:grc-06" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_5.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_5.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_7.2.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.4" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_5.2" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_5.4.2" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_5.4.3" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_5.1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.3" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-1.3" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-2.1" + }, + { + "rel": "part-of", + "href": "#GOV-04" + } + ] + }, + { + "id": "GOV-05", + "title": "Measures of Performance", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "GOV-05" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management", + "value": "3.3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to develop, report and monitor Security, Compliance & Resilience Program (SCRP) measures of performance." + }, + { + "name": "assessment-objective", + "id": "GOV-05_GOV-05_A01", + "prose": "cybersecurity / data privacy measures of performance are developed." + }, + { + "name": "assessment-objective", + "id": "GOV-05_GOV-05_A02", + "prose": "cybersecurity / data privacy measures of performance are monitored." + }, + { + "name": "assessment-objective", + "id": "GOV-05_GOV-05_A03", + "prose": "the results of cybersecurity / data privacy measures of performance are reported." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:edm01.03" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:edm05.01" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:edm05.03" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo02.02" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss06.01" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:mea01.02" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:mea01.03" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_2" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_5" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_14" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_16" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:ais-03" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dcs-17" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:sef-05" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:tvm-12" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_9.1" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_9.1-a" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_9.1-b" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_9.1-c" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_9.1-d" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_9.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_9.1-a" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_9.1-b" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_9.1-c" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_9.1-d" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_9.1-e" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_9.1-f" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_9.1" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_5.2" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_5.4.2" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_6.6" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_5.1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_9.3.2-d" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_9.3.2-d-1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_9.3.2-d-2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_9.3.2-d-3" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-1.5" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:map-5.2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:measure-1.0" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:measure-1.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:measure-1.2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:measure-4.0" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:measure-4.3" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-1.3-002" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-2.7-004" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:gv.mt-p4" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:pr.po-p5" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:pr.po-p6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:pm-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pm-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pm-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pm-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pm-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pm-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pm-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pm-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:pm-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:pm-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.12.03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-7" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.ov" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.ov-01" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.ov-03" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-09" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.im-03" + } + ] + }, + { + "id": "GOV-05.1", + "title": "Key Performance Indicators (KPIs)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to develop, report and monitor Key Performance Indicators (KPIs) to assist organizational management in performance monitoring and trend analysis of the Security, Compliance & Resilience Program (SCRP)." + }, + { + "name": "assessment-objective", + "id": "GOV-05.1_GOV-05.1_A01", + "prose": "Key Performance Indicators (KPIs) are developed to assist organizational management in performance monitoring and trend analysis of specific aspects of the organization's cybersecurity / data privacy program." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo02.02" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_2" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_5" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_14" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_16" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_5.2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:measure-4.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:measure-4.3" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-1.3-002" + }, + { + "rel": "part-of", + "href": "#GOV-05" + } + ] + }, + { + "id": "GOV-05.2", + "title": "Key Risk Indicators (KRIs)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "GOV-05.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to develop, report and monitor Key Risk Indicators (KRIs) to assist senior management in performance monitoring and trend analysis of the Security, Compliance & Resilience Program (SCRP)." + }, + { + "name": "assessment-objective", + "id": "GOV-05.2_GOV-05.2_A01", + "prose": "Key Risk Indicators (KRIs) are developed to assist senior management in performance monitoring and trend analysis of specific aspects of the organization's cybersecurity / data privacy program." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo02.02" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_2" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_5" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_14" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_16" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_5.2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:measure-4.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:measure-4.3" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.rm-01" + }, + { + "rel": "part-of", + "href": "#GOV-05" + } + ] + }, + { + "id": "GOV-06", + "title": "Contacts With Authorities", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to identify and document appropriate contacts with relevant law enforcement and regulatory bodies." + }, + { + "name": "assessment-objective", + "id": "GOV-06_GOV-06_A01", + "prose": "relevant law enforcement and/or regulatory bodies are identified that necessitate communications." + }, + { + "name": "assessment-objective", + "id": "GOV-06_GOV-06_A02", + "prose": "contacts with relevant law enforcement and/or regulatory bodies are established and documented." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_15" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.5" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_6.1.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.5" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-2.1-004" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ir-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ir-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ir-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ir-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ir-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ir-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ir-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ir-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ir-6" + } + ] + }, + { + "id": "GOV-07", + "title": "Contacts With Groups & Associations", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "GOV-07" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to establish contact with selected groups and associations within the security, compliance and resilience communities to: \r\n(1) Facilitate ongoing cybersecurity and data protection education and training for organizational personnel;\r\n(2) Maintain currency with recommended cybersecurity and data protection practices, techniques and technologies; and\r\n(3) Share current cybersecurity and/or data protection-related information including threats, vulnerabilities and incidents." + }, + { + "name": "assessment-objective", + "id": "GOV-07_GOV-07_A01", + "prose": "contact is established and institutionalized with selected groups and associations within the cybersecurity / data privacy community to facilitate ongoing security education and training for organizational personnel." + }, + { + "name": "assessment-objective", + "id": "GOV-07_GOV-07_A02", + "prose": "contact is established and institutionalized with selected groups and associations within the cybersecurity / data privacy community to maintain currency with recommended security practices, techniques and technologies." + }, + { + "name": "assessment-objective", + "id": "GOV-07_GOV-07_A03", + "prose": "contact is established and institutionalized with selected groups and associations within the cybersecurity / data privacy community to share current security information, including threats, vulnerabilities and incidents." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:grc-08" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:event-1.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.6" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_6.1.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:pm-15" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pm-15" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pm-15" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pm-15" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pm-15" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pm-15" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pm-15" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pm-15" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:pm-15" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:pm-15" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.ra-02" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.3.1" + } + ] + }, + { + "id": "GOV-08", + "title": "Defining Business Context & Mission", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "GOV-08" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to define the context of its business model and document the organization's mission." + }, + { + "name": "assessment-objective", + "id": "GOV-08_GOV-08_A01", + "prose": "the organization's mission is clearly defined and documented." + }, + { + "name": "assessment-objective", + "id": "GOV-08_GOV-08_A02", + "prose": "the organization's executive leadership defines and documents a formal business strategy that is used to provide operational guidance to key business leaders across the organization." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:edm05.01" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:edm05.02" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:edm05.03" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo01.01" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo01.02" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo01.03" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo01.04" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo01.06" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo02.01" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo02.05" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo08.01" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo08.02" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo08.03" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo08.04" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_6" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_10" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_4.1" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_4.2.1" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_4.2.1-a" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_4.2.1-b" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_4.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_4.2-a" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_4.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_5.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_4.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_6.1.1" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_5.4.1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:map-1.3" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:id.im-p5" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:id.be-p1" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:id.be-p2" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:gv.rm-p3" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.oc" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.oc-01" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.oc-04" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.ov-01" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-03" + } + ] + }, + { + "id": "GOV-09", + "title": "Define Control Objectives", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "GOV-09" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to establish control objectives as the basis for the selection, implementation and management of the organization's internal security, compliance and resilience control system." + }, + { + "name": "assessment-objective", + "id": "GOV-09_GOV-09_A01", + "prose": "security and privacy-related control objectives are established as the basis for the selection, implementation and management of the organization's internal control system." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo01.04" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_6" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_10" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_4.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_4.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_4.2-b" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_4.2-c" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_5.2-b" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.2-a" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.2-b" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.2-c" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.2-d" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.2-e" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.2-f" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.2-g" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.2-h" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.2-i" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.2-j" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.2-k" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.2-l" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_6.1.3-d" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_5.4.1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_5.1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_8.1" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.308-a-1" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-03" + } + ] + }, + { + "id": "GOV-10", + "title": "Data Governance", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to facilitate data governance to oversee the organization's policies, standards and procedures so that sensitive/regulated data is effectively managed and maintained in accordance with applicable statutory, regulatory and contractual obligations." + }, + { + "name": "assessment-objective", + "id": "GOV-10_GOV-10_A01", + "prose": "a data integrity board/function is established." + }, + { + "name": "assessment-objective", + "id": "GOV-10_GOV-10_A02", + "prose": "the data integrity board/function reviews proposals to conduct or participate in a matching program." + }, + { + "name": "assessment-objective", + "id": "GOV-10_GOV-10_A03", + "prose": "the data integrity board/function conducts an annual review of all matching programs in which the organization has participated." + }, + { + "name": "assessment-objective", + "id": "GOV-10_GOV-10_A04", + "prose": "the roles of the organization's data governance body are defined." + }, + { + "name": "assessment-objective", + "id": "GOV-10_GOV-10_A05", + "prose": "the responsibilities of the organization's data governance body are defined." + }, + { + "name": "assessment-objective", + "id": "GOV-10_GOV-10_A06", + "prose": "the organization's data governance body has defined roles with established responsibilities." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.12" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_8.2.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pm-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pm-24" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pm-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pm-24" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pm-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pm-24" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pm-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pm-24" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pm-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pm-24" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pm-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pm-24" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pm-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:pm-23" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:a3.2.5" + } + ] + }, + { + "id": "GOV-11", + "title": "Purpose Validation", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to monitor mission/business-critical Technology Assets, Applications and/or Services (TAAS) to ensure those resources are being used consistent with their intended purpose." + }, + { + "name": "assessment-objective", + "id": "GOV-11_GOV-11_A01", + "prose": "systems or system components supporting mission-essential services or functions are defined." + }, + { + "name": "assessment-objective", + "id": "GOV-11_GOV-11_A02", + "prose": "systems or system components supporting mission-essential services or functions are analyzed to ensure that the information resources are being used in a manner that is consistent with their intended purpose." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pm-32" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pm-32" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pm-32" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pm-32" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pm-32" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:pm-32" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pm-32" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:pm-32" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:pm-32" + } + ] + }, + { + "id": "GOV-12", + "title": "Forced Technology Transfer (FTT)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to avoid and/or constrain the forced exfiltration of sensitive/regulated information (e.g., Intellectual Property (IP)) to the host government for purposes of market access or market management practices." + }, + { + "name": "assessment-objective", + "id": "GOV-12_GOV-12_A01", + "prose": "an executive steering committee, or advisory board, evaluates business practices for possible forced exfiltration of sensitive / regulated information (e.g., Intellectual Property (IP)) to a host government for purposes of market access or market management practices." + }, + { + "name": "assessment-objective", + "id": "GOV-12_GOV-12_A02", + "prose": "measures exist for the executive steering committee, or advisory board, to proactively identify and evaluate host nation business practices to identify potential instances that exist for forced exfiltration of sensitive / regulated information (e.g., Intellectual Property (IP)) to the host government for purposes of market access or market management practices." + }, + { + "name": "assessment-objective", + "id": "GOV-12_GOV-12_A03", + "prose": "actions are taken to prevent and/or block potential instances that enable the forced exfiltration of sensitive / regulated information (e.g., Intellectual Property (IP)) to the host government for purposes of market access or market management practices." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + } + ] + }, + { + "id": "GOV-13", + "title": "State-Sponsored Espionage", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to constrain the host government's ability to leverage the organization's Technology Assets, Applications and/or Services (TAAS) for economic or political espionage and/or cyberwarfare activities." + }, + { + "name": "assessment-objective", + "id": "GOV-13_GOV-13_A01", + "prose": "an executive steering committee, or advisory board, evaluates business practices for possible instances where host nation business practices could leverage the organization's technology assets for economic or political espionage and/or cyberwarfare activities." + }, + { + "name": "assessment-objective", + "id": "GOV-13_GOV-13_A02", + "prose": "measures exist for the executive steering committee, or advisory board, to proactively identify and evaluate host nation business practices to leverage the organization's technology assets for economic or political espionage and/or cyberwarfare activities." + }, + { + "name": "assessment-objective", + "id": "GOV-13_GOV-13_A03", + "prose": "actions are taken to prevent and/or block potential instances where host nation business practices could leverage the organization's technology assets for economic or political espionage and/or cyberwarfare activities." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + } + ] + }, + { + "id": "GOV-14", + "title": "Business As Usual (BAU) Security, Compliance & Resilience Practices", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management", + "value": "3.7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to incorporate security, compliance and resilience principles into Business As Usual (BAU) practices through executive leadership involvement." + }, + { + "name": "assessment-objective", + "id": "GOV-14_GOV-14_A01", + "prose": "the executive steering committee, or advisory board, directs organization leadership to incorporate cybersecurity / data privacy principles into Business As Usual (BAU) practices." + }, + { + "name": "assessment-objective", + "id": "GOV-14_GOV-14_A02", + "prose": "cybersecurity incidents are reviewed to identify incidents that occurred due to cybersecurity / data privacy principles not being adopted as Business As Usual (BAU) practices." + }, + { + "name": "assessment-objective", + "id": "GOV-14_GOV-14_A03", + "prose": "identified deficiencies of cybersecurity / data privacy principles not being adopted as Business As Usual (BAU) practices are tracked via a Plan of Action and Milestones (POA&M), or risk register, through remediation." + }, + { + "name": "overview", + "class": "errata", + "prose": "- renamed\r\n- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-05-06" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_5.1" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_5.2" + }, + { + "rel": "mapped-to", + "href": "#iso-31010-2009:_4.3.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_5.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-4.0" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:gv.po-p2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:a3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:a3.3.3" + } + ] + }, + { + "id": "GOV-15", + "title": "Operationalizing Security, Compliance & Resilience Capabilities", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "GOV-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management", + "value": "3.5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to compel data and/or process owners to operationalize security, compliance and resilience practices for each Technology Asset, Application and/or Service (TAAS) under their control." + }, + { + "name": "assessment-objective", + "id": "GOV-15_GOV-15_A01", + "prose": "roles and responsibilities exist to compel data and/or process owners to operationalize cybersecurity / data privacy practices for each system, application and/or service under their control." + }, + { + "name": "assessment-objective", + "id": "GOV-15_GOV-15_A02", + "prose": "Individual Contributor (IC) performance reviews cover how data and/or process owners operationalized cybersecurity / data privacy practices for each system, application and/or service under their control." + }, + { + "name": "assessment-objective", + "id": "GOV-15_GOV-15_A03", + "prose": "organization-defined systems security engineering principles are applied to the development or modification of the system and system components." + }, + { + "name": "assessment-objective", + "id": "GOV-15_GOV-15_A04", + "prose": " are applied to the development or modification of the system and system components." + }, + { + "name": "overview", + "class": "errata", + "prose": "- renamed\r\n- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#iec-tr-60601-4-5-2021:_4.1" + }, + { + "rel": "mapped-to", + "href": "#iec-tr-60601-4-5-2021:_4.6.1" + }, + { + "rel": "mapped-to", + "href": "#iec-tr-60601-4-5-2021:_5.1" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.1" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.1-a" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.1-b" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.1-c" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_5.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_7.2.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_5.1" + }, + { + "rel": "mapped-to", + "href": "#iso-29100-2024:_6.12" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_5.2" + }, + { + "rel": "mapped-to", + "href": "#iso-31010-2009:_4.3.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_5.1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_8.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-4.0" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:gv.po-p2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-37-r2:task-p-17" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.15.01.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.17.01.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.16.01" + } + ] + }, + { + "id": "GOV-15.1", + "title": "Select Controls", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "GOV-15.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to compel data and/or process owners to select required security, compliance and resilience controls for each Technology Asset, Application and/or Service (TAAS) under their control." + }, + { + "name": "assessment-objective", + "id": "GOV-15.1_GOV-15.1_A01", + "prose": "roles and responsibilities exist to compel data and/or process owners to select required cybersecurity / data privacy controls for each system, application and/or service under their control." + }, + { + "name": "assessment-objective", + "id": "GOV-15.1_GOV-15.1_A02", + "prose": "Individual Contributor (IC) performance reviews cover how data and/or process owners select required cybersecurity / data privacy controls for each system, application and/or service under their control." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#iec-tr-60601-4-5-2021:_4.1" + }, + { + "rel": "mapped-to", + "href": "#iec-tr-60601-4-5-2021:_4.6.1" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.1" + }, + { + "rel": "mapped-to", + "href": "#iso-29100-2024:_6.12" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_5.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_8.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-37-r2:task-p-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-37-r2:task-s-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.15.01.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.17.01.a" + }, + { + "rel": "part-of", + "href": "#GOV-15" + } + ] + }, + { + "id": "GOV-15.2", + "title": "Implement Controls", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "GOV-15.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to compel data and/or process owners to implement required security, compliance and resilience controls for each Technology Asset, Application and/or Service (TAAS) under their control." + }, + { + "name": "assessment-objective", + "id": "GOV-15.2_GOV-15.2_A01", + "prose": "roles and responsibilities exist to compel data and/or process owners to implement required cybersecurity / data privacy controls for each system, application and/or service under their control." + }, + { + "name": "assessment-objective", + "id": "GOV-15.2_GOV-15.2_A02", + "prose": "Individual Contributor (IC) performance reviews cover how data and/or process owners implement required cybersecurity / data privacy controls for each system, application and/or service under their control." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#iec-tr-60601-4-5-2021:_4.1" + }, + { + "rel": "mapped-to", + "href": "#iec-tr-60601-4-5-2021:_4.6.1" + }, + { + "rel": "mapped-to", + "href": "#iec-tr-60601-4-5-2021:_5.1" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.1" + }, + { + "rel": "mapped-to", + "href": "#iso-29100-2024:_6.12" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_5.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_8.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-37-r2:task-p-17" + }, + { + "rel": "mapped-to", + "href": "#nist-800-37-r2:task-s-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-37-r2:task-i-1" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.308-a-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.15.01.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.17.01.a" + }, + { + "rel": "part-of", + "href": "#GOV-15" + } + ] + }, + { + "id": "GOV-15.3", + "title": "Assess Controls", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "GOV-15.3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to compel data and/or process owners to assess if required security, compliance and resilience controls for each Technology Asset, Application and/or Service (TAAS) under their control are:\r\n(1) Implemented correctly; and \r\n(2) Operating as intended." + }, + { + "name": "assessment-objective", + "id": "GOV-15.3_GOV-15.3_A01", + "prose": "roles and responsibilities exist to compel data and/or process owners to assess if required cybersecurity / data privacy controls for each system, application and/or service under their control are implemented correctly and are operating as intended." + }, + { + "name": "assessment-objective", + "id": "GOV-15.3_GOV-15.3_A02", + "prose": "Individual Contributor (IC) performance reviews cover how data and/or process owners assess if required cybersecurity / data privacy controls for each system, application and/or service under their control are implemented correctly and are operating as intended." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.1" + }, + { + "rel": "mapped-to", + "href": "#iso-29100-2024:_6.12" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_5.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_8.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-37-r2:task-a-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-37-r2:task-m-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.15.01.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.17.01.a" + }, + { + "rel": "part-of", + "href": "#GOV-15" + } + ] + }, + { + "id": "GOV-15.4", + "title": "Authorize Technology Assets, Applications and/or Services (TAAS)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "GOV-15.4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to compel data and/or process owners to obtain authorization for the production use of each Technology Asset, Application and/or Service (TAAS) under their control." + }, + { + "name": "assessment-objective", + "id": "GOV-15.4_GOV-15.4_A01", + "prose": "roles and responsibilities exist to compel data and/or process owners to obtain authorization for the production use of each system, application and/or service under their control." + }, + { + "name": "assessment-objective", + "id": "GOV-15.4_GOV-15.4_A02", + "prose": "Individual Contributor (IC) performance reviews cover how data and/or process owners obtain authorization for the production use of each system, application and/or service under their control." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.1" + }, + { + "rel": "mapped-to", + "href": "#iso-29100-2024:_6.12" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_5.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-37-r2:task-r-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.15.01.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.17.01.a" + }, + { + "rel": "part-of", + "href": "#GOV-15" + } + ] + }, + { + "id": "GOV-15.5", + "title": "Monitor Controls", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "GOV-15.5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to compel data and/or process owners to monitor Technology Assets, Applications, Services and/or Data (TAASD) under their control on an ongoing basis for applicable threats and risks, as well as to ensure security, compliance and resilience controls are operating as intended." + }, + { + "name": "assessment-objective", + "id": "GOV-15.5_GOV-15.5_A01", + "prose": "roles and responsibilities exist to compel data and/or process owners to monitor systems, applications and/or services under their control on an ongoing basis for applicable threats and risks, as well as to ensure cybersecurity / data privacy controls are operating as intended." + }, + { + "name": "assessment-objective", + "id": "GOV-15.5_GOV-15.5_A02", + "prose": "Individual Contributor (IC) performance reviews cover how data and/or process owners monitor systems, applications and/or services under their control on an ongoing basis for applicable threats and risks, as well as to ensure cybersecurity / data privacy controls are operating as intended." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_9.2.2" + }, + { + "rel": "mapped-to", + "href": "#iso-29100-2024:_6.12" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_5.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_8.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-37-r2:task-m-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.15.01.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.17.01.a" + }, + { + "rel": "part-of", + "href": "#GOV-15" + } + ] + }, + { + "id": "GOV-16", + "title": "Materiality Determination", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "GOV-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to define materiality threshold criteria capable of designating an incident as material." + }, + { + "name": "assessment-objective", + "id": "GOV-16_GOV-16_A01", + "prose": "organization-specific criteria to define a materiality threshold capable of designating an incident as material is documented." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_5.4.2" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:de.ae-04" + } + ] + }, + { + "id": "GOV-16.1", + "title": "Material Risks", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to define criteria necessary to designate a risk as a material risk." + }, + { + "name": "assessment-objective", + "id": "GOV-16.1_GOV-16.1_A01", + "prose": "organization-specific criteria to designate a risk as a \"material risk,\" as it pertains to materiality considerations, is documented." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:rsm-01" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_5.4.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.2-c" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.2-d" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.2-d-1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.2-d-2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.2-d-3" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.2-e" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.2-e-1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.2-e-2" + }, + { + "rel": "part-of", + "href": "#GOV-16" + } + ] + }, + { + "id": "GOV-16.2", + "title": "Material Threats", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to define criteria necessary to designate a threat as a material threat." + }, + { + "name": "assessment-objective", + "id": "GOV-16.2_GOV-16.2_A01", + "prose": "organization-specific criteria to designate a threat as a \"material threat,\" as it pertains to materiality considerations, is documented." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:rsm-01" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_5.4.2" + }, + { + "rel": "part-of", + "href": "#GOV-16" + } + ] + }, + { + "id": "GOV-17", + "title": "Security, Compliance & Resilience Status Reporting", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to submit status reporting of the organization's security, compliance and/or resilience program to applicable statutory and/or regulatory authorities, as required." + }, + { + "name": "assessment-objective", + "id": "GOV-17_GOV-17_A01", + "prose": "applicable statutory and/or regulatory authorities that require submissions of the organization's cybersecurity and/or data privacy program status are identified." + }, + { + "name": "assessment-objective", + "id": "GOV-17_GOV-17_A02", + "prose": "contact information and report formatting requirements for applicable statutory and/or regulatory authorities is identified." + }, + { + "name": "assessment-objective", + "id": "GOV-17_GOV-17_A03", + "prose": "a documented process exists to submit status reporting of the organization's cybersecurity and/or data privacy program to applicable statutory and/or regulatory authorities, as required." + }, + { + "name": "assessment-objective", + "id": "GOV-17_GOV-17_A04", + "prose": "evidence of historical submissions of the organization's cybersecurity and/or data privacy program status to applicable statutory and/or regulatory authorities is retained." + }, + { + "name": "overview", + "class": "errata", + "prose": "- renamed\r\n- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + } + ] + }, + { + "id": "GOV-18", + "title": "Quality Management System (QMS)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to govern a Quality Management System (QMS) to ensure security, compliance and resilience processes conform with applicable statutory, regulatory and/or contractual obligations." + }, + { + "name": "assessment-objective", + "id": "GOV-18_GOV-18_A01", + "prose": "a Quality Management System (QMS) is implemented to ensure cybersecurity and data protection processes conform with applicable statutory, regulatory and/or contractual obligations." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo11.01" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo14.04" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai01.07" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-05-11" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-05-11-a" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-05-11-b" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-05-11-c" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-05-11-d" + } + ] + }, + { + "id": "GOV-19", + "title": "Assurance", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to define the basis for confidence that implemented practices conform to applicable security, compliance and resilience controls, where the control implementation performs as intended." + }, + { + "name": "assessment-objective", + "id": "GOV-19_GOV-19_A01", + "prose": "the basis for confidence that implemented practices conform to applicable security, compliance and resilience controls, where the control implementation performs as intended is defined." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + } + ] + }, + { + "id": "GOV-19.1", + "title": "Assurance Levels (AL)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to utilize defined Assurance Levels (AL) for assessment activities to standardize the following assurance attributes:\r\n(1) Depth that addresses the rigor and level of detail of the assessment; and\r\n(2) Coverage that addresses the scope and breadth of the assessment." + }, + { + "name": "assessment-objective", + "id": "GOV-19.1_GOV-19.1_A01", + "prose": "Assurance Levels (AL) for assessment activities are defined standardize assurance attributes." + }, + { + "name": "assessment-objective", + "id": "GOV-19.1_GOV-19.1_A02", + "prose": "Assurance Levels (AL) define depth criteria to addresses the rigor and level of detail of an assessment." + }, + { + "name": "assessment-objective", + "id": "GOV-19.1_GOV-19.1_A03", + "prose": "Assurance Levels (AL) define coverage criteria to address the scope and breadth of an assessment." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "part-of", + "href": "#GOV-19" + } + ] + }, + { + "id": "GOV-19.2", + "title": "Assessment Objectives (AO)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to utilize defined Assessment Objectives (AO) to assess the implementation of requirements, when available." + }, + { + "name": "assessment-objective", + "id": "GOV-19.2_GOV-19.2_A01", + "prose": "defined Assessment Objectives (AO) are identified." + }, + { + "name": "assessment-objective", + "id": "GOV-19.2_GOV-19.2_A02", + "prose": "AOs are used to assess the implementation of requirements, when available." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "part-of", + "href": "#GOV-19" + } + ] + }, + { + "id": "GOV-20", + "title": "Mergers, Acquisitions & Divestitures (MA&D)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.33", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.34", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.35", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.36", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.37", + "value": "MT-26" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.38", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-26", + "value": "MT-26" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to define standardized practices to conduct Mergers, Acquisitions and Divestiture (MA&D) activities." + }, + { + "name": "assessment-objective", + "id": "GOV-20_GOV-20_A01", + "prose": "standardized practices to conduct Mergers, Acquisitions and Divestiture (MA&D) activities are defined." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + } + ] + }, + { + "id": "GOV-20.1", + "title": "Virtual Data Room (VDR)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.33", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.34", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.35", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.36", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.37", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to provision a Virtual Data Room (VDR), or similar technology, to securely share documentation among stakeholders to conduct Mergers, Acquisitions and Divestiture (MA&D) activities." + }, + { + "name": "assessment-objective", + "id": "GOV-20.1_GOV-20.1_A01", + "prose": "a Virtual Data Room (VDR), or similar technology, is securely provisioned to share documentation among stakeholders to conduct MA&D activities." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "part-of", + "href": "#GOV-20" + } + ] + } + ] + }, + { + "id": "artificial-intelligence-autonomous-technologies", + "title": "Artificial Intelligence & Autonomous Technologies", + "controls": [ + { + "id": "AAT-01", + "title": "Artificial Intelligence (AI) & Autonomous Technologies Governance", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure policies, processes, procedures and practices related to the mapping, measuring and managing of Artificial Intelligence (AI) and Autonomous Technologies (AAT)-related risks are in place, transparent and implemented effectively." + }, + { + "name": "assessment-objective", + "id": "AAT-01_AAT-01_A01", + "prose": "Artificial Intelligence (AI) and Autonomous Technologies (AAT)-specific policies, standards and procedures are developed and documented." + }, + { + "name": "assessment-objective", + "id": "AAT-01_AAT-01_A02", + "prose": "Artificial Intelligence (AI) and Autonomous Technologies (AAT)-specific policies, standards and procedures are implemented effectively." + }, + { + "name": "assessment-objective", + "id": "AAT-01_AAT-01_A03", + "prose": "Artificial Intelligence (AI) and Autonomous Technologies (AAT) operations are conducted according to documented policies, standards, procedures and/or other organizational directives." + }, + { + "name": "assessment-objective", + "id": "AAT-01_AAT-01_A04", + "prose": "adequate resources (e.g., people, processes, technologies, data and/or facilities) are provided to support Artificial Intelligence (AI) and Autonomous Technologies (AAT) operations." + }, + { + "name": "assessment-objective", + "id": "AAT-01_AAT-01_A05", + "prose": "responsibility and authority for the performance of Artificial Intelligence (AI) and Autonomous Technologies (AAT)-related activities are assigned to designated personnel." + }, + { + "name": "assessment-objective", + "id": "AAT-01_AAT-01_A06", + "prose": "personnel performing Artificial Intelligence (AI) and Autonomous Technologies (AAT)-related activities have the skills and knowledge needed to perform their assigned duties." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:sap-10" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_4.1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_4.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_4.4" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_5.1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_7.4" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_8.1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_8.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.2.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.4" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.6.2.2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-1.0" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-2.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-4.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:map-3.5" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:map-5.2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:govern-1.2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-1.2-001" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-1.2-002" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-1.3-005" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-1.5-002" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-1.5-003" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:govern-1.7" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-1.7-001" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-2.1-001" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-2.1-002" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-2.1-004" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-3.2-001" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-3.2-003" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-3.2-004" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:govern-4.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-4.1-001" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-4.1-002" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-4.1-003" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-4.3-002" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:govern-6.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-6.1-009" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:govern-6.2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-6.2-005" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mp-3.4-003" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:map-4.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mp-4.1-003" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mp-4.1-005" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-2.5-006" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mg-2.3-001" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mg-4.1-003" + } + ] + }, + { + "id": "AAT-01.1", + "title": "AI & Autonomous Technologies-Related Legal Requirements Definition", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to identify, understand, document and manage applicable statutory and regulatory requirements for Artificial Intelligence (AI) and Autonomous Technologies (AAT)." + }, + { + "name": "assessment-objective", + "id": "AAT-01.1_AAT-01.1_A01", + "prose": "the organization analyzes its business practices to determine applicable statutory, regulatory and/or contractual obligations for Artificial Intelligence (AI) and Autonomous Technologies (AAT)." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_4.1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_4.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_8.1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.5" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.5.3" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.5.4" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.5.5" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.10.4" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-1.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-2.9-002" + }, + { + "rel": "part-of", + "href": "#AAT-01" + } + ] + }, + { + "id": "AAT-01.2", + "title": "Trustworthy AI & Autonomous Technologies", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure Artificial Intelligence (AI) and Autonomous Technologies (AAT) are designed to be reliable, safe, fair, secure, resilient, transparent, explainable and data privacy-enhanced to minimize emergent properties or unintended consequences." + }, + { + "name": "assessment-objective", + "id": "AAT-01.2_AAT-01.2_A01", + "prose": "secure engineering principles are defined." + }, + { + "name": "assessment-objective", + "id": "AAT-01.2_AAT-01.2_A02", + "prose": "privacy engineering principles are defined." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_7.1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.4" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.6.1.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.7" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-1.2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:measure-2.5" + }, + { + "rel": "part-of", + "href": "#AAT-01" + } + ] + }, + { + "id": "AAT-01.3", + "title": "AI & Autonomous Technologies Value Sustainment", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to sustain the value of deployed Artificial Intelligence (AI) and Autonomous Technologies (AAT)." + }, + { + "name": "assessment-objective", + "id": "AAT-01.3_AAT-01.3_A01", + "prose": "the organization analyzes its business practices for Artificial Intelligence (AI) and Autonomous Technologies (AAT)." + }, + { + "name": "assessment-objective", + "id": "AAT-01.3_AAT-01.3_A02", + "prose": "the organization continuously improves its business practices to sustain the value of deployed Artificial Intelligence (AI) and Autonomous Technologies (AAT)." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_4.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:manage-2.2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:manage-2.2" + }, + { + "rel": "part-of", + "href": "#AAT-01" + } + ] + }, + { + "id": "AAT-01.4", + "title": "AI Model & Agent Inventory & Lifecycle Management", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to track the lifecycle of all AI models and AI agents, including ownership, intended purpose and status across:\r\n(1) Development;\r\n(2) Deployment;\r\n(3) Updates; and\r\n(4) Decommissioning." + }, + { + "name": "assessment-objective", + "id": "AAT-01.4_AAT-01.4_A01", + "prose": "the organization tracks AI models and AI agents deployed in development environments that captures:\r\n(1) ownership\r\n(2) intended purpose; and \r\n(3) status." + }, + { + "name": "assessment-objective", + "id": "AAT-01.4_AAT-01.4_A02", + "prose": "the organization tracks AI models and AI agents deployed in production environments that captures:\r\n(1) ownership\r\n(2) intended purpose; and \r\n(3) status." + }, + { + "name": "assessment-objective", + "id": "AAT-01.4_AAT-01.4_A03", + "prose": "the organization tracks AI models and AI agents updates that captures:\r\n(1) ownership\r\n(2) intended purpose; and \r\n(3) status." + }, + { + "name": "assessment-objective", + "id": "AAT-01.4_AAT-01.4_A04", + "prose": "the organization tracks decommissioned AI models and AI agents that captures:\r\n(1) ownership;\r\n(2) intended purpose; and\r\n(3) date of decommissioning." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "part-of", + "href": "#AAT-01" + } + ] + }, + { + "id": "AAT-02", + "title": "Situational Awareness of AI & Autonomous Technologies", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to develop and maintain an inventory of Artificial Intelligence (AI) and Autonomous Technologies (AAT) (internal and third-party)." + }, + { + "name": "assessment-objective", + "id": "AAT-02_AAT-02_A01", + "prose": "an inventory of systems and system components that is at the level of granularity deemed necessary for tracking and reporting is documented." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_8.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.4.4" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.4.5" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-1.6" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:govern-1.6" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-1.6-001" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-1.6-002" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:manage-3.1" + } + ] + }, + { + "id": "AAT-02.1", + "title": "AI & Autonomous Technologies Risk Mapping", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to identify Artificial Intelligence (AI) and Autonomous Technologies (AAT) in use and map those components to potential legal risks, including statutory and regulatory compliance requirements." + }, + { + "name": "assessment-objective", + "id": "AAT-02.1_AAT-02.1_A01", + "prose": "a risk catalog of Artificial Intelligence (AI) and Autonomous Technologies (AAT)-specific risks is documented." + }, + { + "name": "assessment-objective", + "id": "AAT-02.1_AAT-02.1_A02", + "prose": "a compliance catalog of Artificial Intelligence (AI) and Autonomous Technologies (AAT)-specific laws, regulations and contractual obligations are documented." + }, + { + "name": "assessment-objective", + "id": "AAT-02.1_AAT-02.1_A03", + "prose": "the organization maps its risk catalog to its compliance catalog for Artificial Intelligence (AI) and Autonomous Technologies (AAT)." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_8.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.5.3" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.5.4" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.5.5" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:map-4.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-1.3-005" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-4.1-002" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-4.2-002" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mp-1.1-004" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:map-4.1" + }, + { + "rel": "part-of", + "href": "#AAT-02" + } + ] + }, + { + "id": "AAT-02.2", + "title": "AI & Autonomous Technologies Internal Controls", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to identify and document internal security, compliance and resilience for Artificial Intelligence (AI) and Autonomous Technologies (AAT)." + }, + { + "name": "assessment-objective", + "id": "AAT-02.2_AAT-02.2_A01", + "prose": "roles and responsibilities exist to compel data and/or process owners to select required cybersecurity / data privacy controls for Artificial Intelligence (AI) and Autonomous Technologies (AAT) under their control." + }, + { + "name": "assessment-objective", + "id": "AAT-02.2_AAT-02.2_A02", + "prose": "Individual Contributor (IC) performance reviews cover how data and/or process owners operationalized cybersecurity / data privacy practices for Artificial Intelligence (AI) and Autonomous Technologies (AAT) under their control." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_5.1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_8.1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.6.2.2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:map-4.2" + }, + { + "rel": "part-of", + "href": "#AAT-02" + } + ] + }, + { + "id": "AAT-02.3", + "title": "Adequate Protections For AI & Autonomous Technologies", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure Artificial Intelligence (AI) and Autonomous Technologies (AAT) include reasonable security, compliance and resilience protections that are commensurate with assessed risks and threats." + }, + { + "name": "assessment-objective", + "id": "AAT-02.3_AAT-02.3_A01", + "prose": "risks and threats for Artificial Intelligence (AI) and Autonomous Technologies (AAT) are identified." + }, + { + "name": "assessment-objective", + "id": "AAT-02.3_AAT-02.3_A02", + "prose": "reasonable cybersecurity and data protections that are commensurate with assessed risks and threats for Artificial Intelligence (AI) and Autonomous Technologies (AAT) are defined." + }, + { + "name": "assessment-objective", + "id": "AAT-02.3_AAT-02.3_A03", + "prose": "reasonable cybersecurity and data protections that are commensurate with assessed risks and threats for Artificial Intelligence (AI) and Autonomous Technologies (AAT) are implemented." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mg-3.1-001" + }, + { + "rel": "part-of", + "href": "#AAT-02" + } + ] + }, + { + "id": "AAT-02.4", + "title": "AI Threat Modeling & Risk Assessment", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to conduct Artificial Intelligence (AI) and Autonomous Technologies (AAT)-specific threat modeling and risk assessments to address the following criteria across the lifecycle of the AAT:\r\n(1) Attack surfaces;\r\n(2) Adversarial threats; and \r\n(3) Abuse / misuse scenarios." + }, + { + "name": "assessment-objective", + "id": "AAT-02.4_AAT-02.4_A01", + "prose": "Artificial Intelligence (AI) and Autonomous Technologies (AAT)-specific threat modeling addresses the following criteria across the lifecycle of the AAT:\r\n(1) Attack surfaces;\r\n(2) Adversarial threats; and \r\n(3) Abuse / misuse scenarios." + }, + { + "name": "assessment-objective", + "id": "AAT-02.4_AAT-02.4_A02", + "prose": "Artificial Intelligence (AI) and Autonomous Technologies (AAT)-specific risk assessments address the following criteria across the lifecycle of the AAT:\r\n(1) Attack surfaces;\r\n(2) Adversarial threats; and \r\n(3) Abuse / misuse scenarios." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "part-of", + "href": "#AAT-02" + } + ] + }, + { + "id": "AAT-03", + "title": "AI & Autonomous Technologies Context Definition", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to establish and document the context surrounding Artificial Intelligence (AI) and Autonomous Technologies (AAT), including:\r\n(1) Intended purposes;\r\n(2) Potentially beneficial uses;\r\n(3) Context-specific laws and regulations;\r\n(4) Norms and expectations; and\r\n(5) Prospective settings in which the system(s) will be deployed." + }, + { + "name": "assessment-objective", + "id": "AAT-03_AAT-03_A01", + "prose": "the context for the intended purpose(s) for Artificial Intelligence (AI) and Autonomous Technologies (AAT) is clearly documented." + }, + { + "name": "assessment-objective", + "id": "AAT-03_AAT-03_A02", + "prose": "the context for the potentially beneficial use(s) for Artificial Intelligence (AI) and Autonomous Technologies (AAT) is clearly documented." + }, + { + "name": "assessment-objective", + "id": "AAT-03_AAT-03_A03", + "prose": "the context for the legal and regulatory compliance for Artificial Intelligence (AI) and Autonomous Technologies (AAT) is clearly documented." + }, + { + "name": "assessment-objective", + "id": "AAT-03_AAT-03_A04", + "prose": "the context for the norms and expectations for Artificial Intelligence (AI) and Autonomous Technologies (AAT) is clearly documented." + }, + { + "name": "assessment-objective", + "id": "AAT-03_AAT-03_A05", + "prose": "the context for the proposed deployment setting(s) for Artificial Intelligence (AI) and Autonomous Technologies (AAT) is clearly documented." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_4.1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.10.4" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:map-1.0" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:map-1.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:map-1.4" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:map-3.0" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:map-1.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mp-1.1-001" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mp-1.1-002" + } + ] + }, + { + "id": "AAT-03.1", + "title": "AI & Autonomous Technologies Mission and Goals Definition", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to define and document the organization's mission and defined goals for Artificial Intelligence (AI) and Autonomous Technologies (AAT)." + }, + { + "name": "assessment-objective", + "id": "AAT-03.1_AAT-03.1_A01", + "prose": "the mission for Artificial Intelligence (AI) and Autonomous Technologies (AAT) is clearly documented." + }, + { + "name": "assessment-objective", + "id": "AAT-03.1_AAT-03.1_A02", + "prose": "the relevant goals for Artificial Intelligence (AI) and Autonomous Technologies (AAT) are clearly documented." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_4.1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_4.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.6.2.3" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:map-1.3" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:map-1.4" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:map-3.0" + }, + { + "rel": "part-of", + "href": "#AAT-03" + } + ] + }, + { + "id": "AAT-03.2", + "title": "Model & AI Agent Documentation", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to create, maintain and provide access to documentation artifacts for AI models and agents, including:\r\n(1) Data lineage;\r\n(2) Intended use; and \r\n(3) Limitations." + }, + { + "name": "assessment-objective", + "id": "AAT-03.2_AAT-03.2_A01", + "prose": "AI model and agent-related documentation artifacts for data lineage is created, maintained and accessible." + }, + { + "name": "assessment-objective", + "id": "AAT-03.2_AAT-03.2_A02", + "prose": "AI model and agent-related documentation artifacts for intended use is created, maintained and accessible." + }, + { + "name": "assessment-objective", + "id": "AAT-03.2_AAT-03.2_A03", + "prose": "AI model and agent-related documentation artifacts for limitations is created, maintained and accessible." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "part-of", + "href": "#AAT-03" + } + ] + }, + { + "id": "AAT-04", + "title": "AI & Autonomous Technologies Business Case", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to benchmark capabilities, targeted usage, goals and expected benefits and costs of Artificial Intelligence (AI) and Autonomous Technologies (AAT)." + }, + { + "name": "assessment-objective", + "id": "AAT-04_AAT-04_A01", + "prose": "capabilities for Artificial Intelligence (AI) and Autonomous Technologies (AAT) are benchmarked." + }, + { + "name": "assessment-objective", + "id": "AAT-04_AAT-04_A02", + "prose": "targeted usage for Artificial Intelligence (AI) and Autonomous Technologies (AAT) is benchmarked." + }, + { + "name": "assessment-objective", + "id": "AAT-04_AAT-04_A03", + "prose": "goals for Artificial Intelligence (AI) and Autonomous Technologies (AAT) are benchmarked." + }, + { + "name": "assessment-objective", + "id": "AAT-04_AAT-04_A04", + "prose": "expected benefits for Artificial Intelligence (AI) and Autonomous Technologies (AAT) are benchmarked." + }, + { + "name": "assessment-objective", + "id": "AAT-04_AAT-04_A05", + "prose": "expected costs for Artificial Intelligence (AI) and Autonomous Technologies (AAT) are benchmarked." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_5.1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.2-a" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.2-b" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.2-c" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.2-d" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.2-e" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.2-f" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.2-g" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.6.2.3" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.9" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.9.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.9.3" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.9.4" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.10.4" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:map-1.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:map-3.0" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:map-3.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:map-3.2" + } + ] + }, + { + "id": "AAT-04.1", + "title": "AI & Autonomous Technologies Potential Benefits Analysis", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to assess the potential benefits of proposed Artificial Intelligence (AI) and Autonomous Technologies (AAT)." + }, + { + "name": "assessment-objective", + "id": "AAT-04.1_AAT-04.1_A01", + "prose": "documented methods exist to viably assess the potential benefits of Artificial Intelligence (AI) and Autonomous Technologies (AAT)." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:map-3.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-2.9-002" + }, + { + "rel": "part-of", + "href": "#AAT-04" + } + ] + }, + { + "id": "AAT-04.2", + "title": "AI & Autonomous Technologies Potential Costs Analysis", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to assess potential costs, including non-monetary costs, resulting from expected or realized Artificial Intelligence (AI) and Autonomous Technologies (AAT)-related errors or system functionality and trustworthiness." + }, + { + "name": "assessment-objective", + "id": "AAT-04.2_AAT-04.2_A01", + "prose": "documented methods exist to viably assess the potential costs, including non-monetary costs, resulting from expected or realized Artificial Intelligence (AI)-related errors or system functionality and trustworthiness." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.5.3" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.5.4" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.5.5" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:map-3.2" + }, + { + "rel": "part-of", + "href": "#AAT-04" + } + ] + }, + { + "id": "AAT-04.3", + "title": "AI & Autonomous Technologies Targeted Application Scope", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to specify and document the targeted application scope of the proposed use and operation of Artificial Intelligence (AI) and Autonomous Technologies (AAT)." + }, + { + "name": "assessment-objective", + "id": "AAT-04.3_AAT-04.3_A01", + "prose": "the scope for Artificial Intelligence (AI) and Autonomous Technologies (AAT) is defined." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_4.3" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_9.2.2-a" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.4.4" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.4.5" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:map-3.3" + }, + { + "rel": "part-of", + "href": "#AAT-04" + } + ] + }, + { + "id": "AAT-04.4", + "title": "AI & Autonomous Technologies Cost / Benefit Mapping", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to map risks and benefits for all components of Artificial Intelligence (AI) and Autonomous Technologies (AAT), including third-party software and data." + }, + { + "name": "assessment-objective", + "id": "AAT-04.4_AAT-04.4_A01", + "prose": "a risk catalog of Artificial Intelligence (AI) and Autonomous Technologies (AAT)-specific risks is documented." + }, + { + "name": "assessment-objective", + "id": "AAT-04.4_AAT-04.4_A02", + "prose": "a compliance catalog of Artificial Intelligence (AI) and Autonomous Technologies (AAT)-specific laws, regulations and contractual obligations are documented." + }, + { + "name": "assessment-objective", + "id": "AAT-04.4_AAT-04.4_A03", + "prose": "a Third-Party Service Provider (TSP) catalog that includes Software as a Service (SaaS) is documented." + }, + { + "name": "assessment-objective", + "id": "AAT-04.4_AAT-04.4_A04", + "prose": "the organization maps its risk catalog across its compliance and Third-Party Service Provider (TSP) catalog for Artificial Intelligence (AI) and Autonomous Technologies (AAT) to determine the scope and potential impact of AAT-related risks." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:map-4.0" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:manage-3.1" + }, + { + "rel": "part-of", + "href": "#AAT-04" + } + ] + }, + { + "id": "AAT-05", + "title": "AI & Autonomous Technologies Training", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure personnel and external stakeholders are provided with position-specific risk management training for Artificial Intelligence (AI) and Autonomous Technologies (AAT)." + }, + { + "name": "assessment-objective", + "id": "AAT-05_AAT-05_A01", + "prose": "roles and responsibilities for role-based cybersecurity / data privacy training are defined for Artificial Intelligence (AI) and Autonomous Technologies (AAT) internal and external stakeholders." + }, + { + "name": "assessment-objective", + "id": "AAT-05_AAT-05_A02", + "prose": "the frequency at which to provide role-based cybersecurity / data privacy training to Artificial Intelligence (AI) and Autonomous Technologies (AAT) stakeholders after initial training is defined." + }, + { + "name": "assessment-objective", + "id": "AAT-05_AAT-05_A03", + "prose": "events that require role-based training content for Artificial Intelligence (AI) and Autonomous Technologies (AAT) to be updated are defined." + }, + { + "name": "assessment-objective", + "id": "AAT-05_AAT-05_A04", + "prose": "role-based privacy training is provided to organization-defined roles and responsibilities before authorizing access to Artificial Intelligence (AI) and Autonomous Technologies (AAT) or performing assigned duties." + }, + { + "name": "assessment-objective", + "id": "AAT-05_AAT-05_A05", + "prose": "role-based cybersecurity / data privacy training for Artificial Intelligence (AI) and Autonomous Technologies (AAT) is provided upon hire and per an organization-defined frequency thereafter." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_7.2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-2.1-003" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-3.3-004" + } + ] + }, + { + "id": "AAT-06", + "title": "AI & Autonomous Technologies Fairness & Bias", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to prevent Artificial Intelligence (AI) and Autonomous Technologies (AAT) from unfairly identifying, profiling and/or statistically singling out a segmented population defined by race, religion, gender identity, national origin, religion, disability or any other politically-charged identifier." + }, + { + "name": "assessment-objective", + "id": "AAT-06_AAT-06_A01", + "prose": "a documented methodology prioritizes workforce diversity, equity, inclusion and accessibility processes in the mapping, measuring and managing of Artificial Intelligence (AI)-related risks throughout the AAT lifecycle." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-3.0" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-2.2-001" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-2.11-001" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-3.3-003" + } + ] + }, + { + "id": "AAT-07", + "title": "AI & Autonomous Technologies Risk Management Decisions", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to leverage decision makers from a diversity of demographics, disciplines, experience, expertise and backgrounds for mapping, measuring and managing Artificial Intelligence (AI) and Autonomous Technologies (AAT)-related risks." + }, + { + "name": "assessment-objective", + "id": "AAT-07_AAT-07_A01", + "prose": "the organization leverages decision makers from a diversity of demographics for mapping, measuring and managing Artificial Intelligence (AI) and Autonomous Technologies (AAT)-related risks leverage personnel" + }, + { + "name": "assessment-objective", + "id": "AAT-07_AAT-07_A02", + "prose": "the organization leverages decision makers from a diversity of disciplines for mapping, measuring and managing Artificial Intelligence (AI) and Autonomous Technologies (AAT)-related risks leverage personnel" + }, + { + "name": "assessment-objective", + "id": "AAT-07_AAT-07_A03", + "prose": "the organization leverages decision makers from a diversity of experience for mapping, measuring and managing Artificial Intelligence (AI) and Autonomous Technologies (AAT)-related risks leverage personnel" + }, + { + "name": "assessment-objective", + "id": "AAT-07_AAT-07_A04", + "prose": "the organization leverages decision makers from a diversity of expertise for mapping, measuring and managing Artificial Intelligence (AI) and Autonomous Technologies (AAT)-related risks leverage personnel" + }, + { + "name": "assessment-objective", + "id": "AAT-07_AAT-07_A05", + "prose": "the organization leverages decision makers from a diversity of backgrounds for mapping, measuring and managing Artificial Intelligence (AI) and Autonomous Technologies (AAT)-related risks leverage personnel" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.2-a" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.2-b" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.2-c" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.2-d" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.2-d-1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.2-d-2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.2-d-3" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.2-e" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.2-e-1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.2-e-2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.3" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.3-a" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.3-b" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.3-c" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.3-d" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.3-e" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.3-f" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.3-g" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.4" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_8.2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-3.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:govern-1.4" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mp-1.1-003" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:map-1.2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mp-1.2-001" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mp-5.1-002" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:measure-1.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-2.8-001" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-2.11-003" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:measure-3.2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-3.2-001" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:manage-1.3" + } + ] + }, + { + "id": "AAT-07.1", + "title": "AI & Autonomous Technologies Impact Assessment", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to assess the impact(s) of proposed Artificial Intelligence (AI) and Autonomous Technologies (AAT) on individuals, groups, communities, organizations and society (e.g., Fundamental Rights Impact Assessment (FRIA))." + }, + { + "name": "assessment-objective", + "id": "AAT-07.1_AAT-07.1_A01", + "prose": "the organization characterizes the impacts of proposed Artificial Intelligence (AI) and Autonomous Technologies (AAT) on individuals." + }, + { + "name": "assessment-objective", + "id": "AAT-07.1_AAT-07.1_A02", + "prose": "the organization characterizes the impact of proposed Artificial Intelligence (AI) and Autonomous Technologies (AAT) on groups." + }, + { + "name": "assessment-objective", + "id": "AAT-07.1_AAT-07.1_A03", + "prose": "the organization characterizes the impact of proposed Artificial Intelligence (AI) and Autonomous Technologies (AAT) on communities" + }, + { + "name": "assessment-objective", + "id": "AAT-07.1_AAT-07.1_A04", + "prose": "the organization characterizes the impact of proposed Artificial Intelligence (AI) and Autonomous Technologies (AAT) on organizations." + }, + { + "name": "assessment-objective", + "id": "AAT-07.1_AAT-07.1_A05", + "prose": "the organization characterizes the impact of proposed Artificial Intelligence (AI) and Autonomous Technologies (AAT) on society." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_8.4" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.5.3" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.5.4" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.5.5" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:map-5.0" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-4.2-003" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:map-5.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mp-5.2-001" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mp-5.2-002" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-1.3-002" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-3.3-001" + }, + { + "rel": "part-of", + "href": "#AAT-07" + } + ] + }, + { + "id": "AAT-07.2", + "title": "AI & Autonomous Technologies Likelihood & Impact Risk Analysis", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to define the potential likelihood and impact of each identified risk based on expected use and past uses of Artificial Intelligence (AI) and Autonomous Technologies (AAT) in similar contexts." + }, + { + "name": "assessment-objective", + "id": "AAT-07.2_AAT-07.2_A01", + "prose": "the potential likelihood is documented for each identified risk based on expected use and past uses of Artificial Intelligence (AI) and Autonomous Technologies (AAT) in similar contexts." + }, + { + "name": "assessment-objective", + "id": "AAT-07.2_AAT-07.2_A02", + "prose": "the potential impact is documented for each identified risk based on expected use and past uses of Artificial Intelligence (AI) and Autonomous Technologies (AAT) in similar contexts." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.2-a" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.2-b" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.2-c" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.2-d" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.2-d-1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.2-d-2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.2-d-3" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.2-e" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.2-e-1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.2-e-2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_8.2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:map-5.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-4.1-002" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:govern-4.2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-5.1-002" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mp-1.1-002" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mp-4.1-008" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:map-5.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mp-5.1-002" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mp-5.1-006" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mp-5.2-001" + }, + { + "rel": "part-of", + "href": "#AAT-07" + } + ] + }, + { + "id": "AAT-07.3", + "title": "AI & Autonomous Technologies Continuous Improvements", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to continuously improve Artificial Intelligence (AI) and Autonomous Technologies (AAT) capabilities to maximize benefits and minimize negative impacts associated with AAT." + }, + { + "name": "assessment-objective", + "id": "AAT-07.3_AAT-07.3_A01", + "prose": "a documented strategy exists to implement continuously monitoring of Artificial Intelligence (AI) and Autonomous Technologies (AAT) that maximize benefits, while minimizing negative impacts." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_5.2-d" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_9.3.2-e" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_10.1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.3.3" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:manage-2.0" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:manage-4.2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mg-4.2-001" + }, + { + "rel": "part-of", + "href": "#AAT-07" + } + ] + }, + { + "id": "AAT-08", + "title": "Assigned Responsibilities for AI & Autonomous Technologies", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to define and differentiate roles and responsibilities for:\r\n(1) Artificial Intelligence (AI) and Autonomous Technologies (AAT) configurations; and\r\n(2) Oversight of AAT systems." + }, + { + "name": "assessment-objective", + "id": "AAT-08_AAT-08_A01", + "prose": "cybersecurity / data privacy roles and responsibilities are incorporated into organizational position descriptions." + }, + { + "name": "assessment-objective", + "id": "AAT-08_AAT-08_A02", + "prose": "users are formally made aware of their roles and responsibilities to maintain a safe and secure working environment." + }, + { + "name": "assessment-objective", + "id": "AAT-08_AAT-08_A03", + "prose": "acknowledgement of user awareness is maintained by the organization." + }, + { + "name": "assessment-objective", + "id": "AAT-08_AAT-08_A04", + "prose": "the frequency at which to review / update position risk designations is defined." + }, + { + "name": "assessment-objective", + "id": "AAT-08_AAT-08_A05", + "prose": "a risk designation is assigned to all organizational positions." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_5.3" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_5.3-a" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_5.3-b" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.3.2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-2.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-3.2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:map-1.2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:govern-1.5" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-1.5-001" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:govern-2.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-2.1-001" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-2.1-002" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:govern-3.2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mp-3.4-005" + } + ] + }, + { + "id": "AAT-09", + "title": "AI & Autonomous Technologies Risk Profiling", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to document the risks and potential impacts of Artificial Intelligence (AI) and Autonomous Technologies (AAT) that are:\r\n(1) Designed;\r\n(2) Developed;\r\n(3) Deployed;\r\n(4) Evaluated; and/or\r\n(5) Used." + }, + { + "name": "assessment-objective", + "id": "AAT-09_AAT-09_A01", + "prose": "a risk catalog of Artificial Intelligence (AI) and Autonomous Technologies (AAT)-specific risks is documented." + }, + { + "name": "assessment-objective", + "id": "AAT-09_AAT-09_A02", + "prose": "the organization maps its risk catalog, including potential impacts, to instances where Artificial Intelligence (AI) and Autonomous Technologies (AAT) are designed, developed, deployed, evaluated and used." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.4" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-4.2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:govern-4.2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-4.2-002" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-6.2-005" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mp-1.1-003" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mp-1.1-004" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:manage-1.3" + } + ] + }, + { + "id": "AAT-09.1", + "title": "AI & Autonomous Technologies High Risk Designations", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to designate Artificial Intelligence (AI) and Autonomous Technologies (AAT) \"High Risk\" if one(1), or more, of the following criteria are met:\r\n(1) AAT is used as a safety component of a product or service;\r\n(2) AAT poses a significant risk of harm to an individual's health, safety or fundamental rights; and/or\r\n(3) AAT materially influences the outcome of an individual's decision making." + }, + { + "name": "assessment-objective", + "id": "AAT-09.1_AAT-09.1_A01", + "prose": "the organization assesses the risk associated with Artificial Intelligence (AI) and Autonomous Technologies (AAT)." + }, + { + "name": "assessment-objective", + "id": "AAT-09.1_AAT-09.1_A02", + "prose": "Artificial Intelligence (AI) and Autonomous Technologies (AAT) are designated as \"High Risk\" if one(1), or more, of the follow criteria are met:\r\n(1) AAT is used as a safety component of a product or service;\r\n(2) AAT poses a significant risk of harm to an individual's health, safety or fundamental rights; and/or\r\n(3) AAT materially influences the outcome of an individual's decision making." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-2.1-004" + }, + { + "rel": "part-of", + "href": "#AAT-09" + } + ] + }, + { + "id": "AAT-10", + "title": "Artificial Intelligence Test, Evaluation, Validation & Verification (AI TEVV)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to implement Artificial Intelligence Test, Evaluation, Validation & Verification (AI TEVV) practices to enable Artificial Intelligence (AI) and Autonomous Technologies (AAT)-related security, resilience and compliance-related conformity testing throughout the lifecycle of the AAT." + }, + { + "name": "assessment-objective", + "id": "AAT-10_AAT-10_A01", + "prose": "the organization's Artificial Intelligence Test, Evaluation, Validation & Verification (AI TEVV) capability is organization-wide." + }, + { + "name": "assessment-objective", + "id": "AAT-10_AAT-10_A02", + "prose": "a process is implemented to ensure that organizational plans for conducting cybersecurity / data privacy testing, training and monitoring activities associated with organizational systems are developed." + }, + { + "name": "assessment-objective", + "id": "AAT-10_AAT-10_A03", + "prose": "a process is implemented to ensure that organizational plans for conducting cybersecurity / data privacy testing, training and monitoring activities associated with organizational systems are maintained." + }, + { + "name": "assessment-objective", + "id": "AAT-10_AAT-10_A04", + "prose": "a process is implemented to ensure that organizational plans for conducting cybersecurity / data privacy testing, training and monitoring activities associated with organizational systems continue to be executed." + }, + { + "name": "assessment-objective", + "id": "AAT-10_AAT-10_A05", + "prose": "the authorization processes are integrated into an organization-wide risk management program." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_9.1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.6.1.3" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.6.2.3" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.6.2.4" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.6.2.5" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-4.3" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:measure-2.2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-1.3-003" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-1.5-003" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:govern-4.3" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-4.3-003" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:govern-6.2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:map-2.3" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mp-2.3-005" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mp-4.1-007" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mp-4.1-008" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mp-5.1-001" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-1.3-002" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-2.6-003" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:measure-2.9" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-2.9-002" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:measure-2.13" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-4.2-001" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mg-2.2-007" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mg-3.1-002" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mg-4.1-003" + } + ] + }, + { + "id": "AAT-10.1", + "title": "AI TEVV Trustworthiness Assessment", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to evaluate Artificial Intelligence (AI) and Autonomous Technologies (AAT) for trustworthy behavior and operation including security, anonymization and disaggregation of captured and stored data for approved purposes." + }, + { + "name": "assessment-objective", + "id": "AAT-10.1_AAT-10.1_A01", + "prose": "the organization's Artificial Intelligence Test, Evaluation, Validation & Verification (AI TEVV) capability evaluates Artificial Intelligence (AI) and Autonomous Technologies (AAT) for trustworthy characteristics." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_9.2.1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_9.2.1-a" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_9.2.1-a-1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_9.2.1-a-2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_9.2.1-b" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.6.2.4" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:measure-2.0" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:map-3.4" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:measure-4.2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mg-3.1-003" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:manage-4.1" + }, + { + "rel": "part-of", + "href": "#AAT-10" + } + ] + }, + { + "id": "AAT-10.2", + "title": "AI TEVV Tools", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to document test sets, metrics and details about the tools used during Artificial Intelligence Test, Evaluation, Validation & Verification (AI TEVV) practices." + }, + { + "name": "assessment-objective", + "id": "AAT-10.2_AAT-10.2_A01", + "prose": "the organization's Artificial Intelligence Test, Evaluation, Validation & Verification (AI TEVV) capability documents test sets used during AI TEVV." + }, + { + "name": "assessment-objective", + "id": "AAT-10.2_AAT-10.2_A02", + "prose": "the organization's Artificial Intelligence Test, Evaluation, Validation & Verification (AI TEVV) capability documents metrics used during AI TEVV." + }, + { + "name": "assessment-objective", + "id": "AAT-10.2_AAT-10.2_A03", + "prose": "the organization's Artificial Intelligence Test, Evaluation, Validation & Verification (AI TEVV) capability documents details about the tools used during AI TEVV." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:map-2.3" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:measure-2.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-1.1-003" + }, + { + "rel": "part-of", + "href": "#AAT-10" + } + ] + }, + { + "id": "AAT-10.3", + "title": "AI TEVV Trustworthiness Demonstration", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to demonstrate the Artificial Intelligence (AI) and Autonomous Technologies (AAT) to be deployed are:\r\n(1) Valid;\r\n(2) Reliable; and\r\n(3) Operate as intended, based on approved designs." + }, + { + "name": "assessment-objective", + "id": "AAT-10.3_AAT-10.3_A01", + "prose": "the organization's Artificial Intelligence Test, Evaluation, Validation & Verification (AI TEVV) capability includes demonstrating the Artificial Intelligence (AI) and Autonomous Technologies (AAT) to be deployed is valid and reliable." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:measure-2.0" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:measure-2.5" + }, + { + "rel": "part-of", + "href": "#AAT-10" + } + ] + }, + { + "id": "AAT-10.4", + "title": "AI TEVV Safety Demonstration", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to demonstrate the Artificial Intelligence (AI) and Autonomous Technologies (AAT) to be deployed are safe, residual risk does not exceed the organization's risk tolerance and can fail safely, particularly if made to operate beyond its knowledge limits." + }, + { + "name": "assessment-objective", + "id": "AAT-10.4_AAT-10.4_A01", + "prose": "the organization's Artificial Intelligence Test, Evaluation, Validation & Verification (AI TEVV) capability demonstrates the Artificial Intelligence (AI) and Autonomous Technologies (AAT) to be deployed is safe" + }, + { + "name": "assessment-objective", + "id": "AAT-10.4_AAT-10.4_A02", + "prose": "the organization's Artificial Intelligence Test, Evaluation, Validation & Verification (AI TEVV) capability demonstrates residual, negative risk from Artificial Intelligence (AI) and Autonomous Technologies (AAT) does not exceed the organization's risk tolerance and can fail safely, particularly if made to operate beyond its knowledge limits." + }, + { + "name": "assessment-objective", + "id": "AAT-10.4_AAT-10.4_A03", + "prose": "the organization's Artificial Intelligence Test, Evaluation, Validation & Verification (AI TEVV) capability demonstrates Artificial Intelligence (AI) and Autonomous Technologies (AAT) can fail safely, particularly if made to operate beyond its knowledge limits." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:measure-2.6" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-1.3-006" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mg-1.3-001" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mg-2.2-001" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mg-3.2-009" + }, + { + "rel": "part-of", + "href": "#AAT-10" + } + ] + }, + { + "id": "AAT-10.5", + "title": "AI TEVV Security & Resiliency Assessment", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to evaluate the security and resilience of Artificial Intelligence (AI) and Autonomous Technologies (AAT) to be deployed." + }, + { + "name": "assessment-objective", + "id": "AAT-10.5_AAT-10.5_A01", + "prose": "the organization's Artificial Intelligence Test, Evaluation, Validation & Verification (AI TEVV) capability evaluates the security of the Artificial Intelligence (AI) and Autonomous Technologies (AAT) to be deployed." + }, + { + "name": "assessment-objective", + "id": "AAT-10.5_AAT-10.5_A02", + "prose": "the organization's Artificial Intelligence Test, Evaluation, Validation & Verification (AI TEVV) capability evaluates the resilience of the Artificial Intelligence (AI) and Autonomous Technologies (AAT) to be deployed." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:measure-2.7" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:measure-2.7" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-2.7-001" + }, + { + "rel": "part-of", + "href": "#AAT-10" + } + ] + }, + { + "id": "AAT-10.6", + "title": "AI TEVV Transparency & Accountability Assessment", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to examine risks associated with transparency and accountability of Artificial Intelligence (AI) and Autonomous Technologies (AAT) to be deployed." + }, + { + "name": "assessment-objective", + "id": "AAT-10.6_AAT-10.6_A01", + "prose": "the organization's Artificial Intelligence Test, Evaluation, Validation & Verification (AI TEVV) capability is integrated into an organization-wide risk management program." + }, + { + "name": "assessment-objective", + "id": "AAT-10.6_AAT-10.6_A02", + "prose": "the organization's Artificial Intelligence Test, Evaluation, Validation & Verification (AI TEVV) capability examines risks associated with transparency and accountability of Artificial Intelligence (AI) and Autonomous Technologies (AAT) to be deployed." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:measure-2.8" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:measure-2.8" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mg-4.1-005" + }, + { + "rel": "part-of", + "href": "#AAT-10" + } + ] + }, + { + "id": "AAT-10.7", + "title": "AI TEVV Privacy Assessment", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to examine the data privacy risk of Artificial Intelligence (AI) and Autonomous Technologies (AAT) to be deployed." + }, + { + "name": "assessment-objective", + "id": "AAT-10.7_AAT-10.7_A01", + "prose": "the organization's Artificial Intelligence Test, Evaluation, Validation & Verification (AI TEVV) capability includes a Data Protection Impact Assessment (DPIA) to identify and remediate reasonably-expected risks to Personal Data (PD)." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:measure-2.10" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:measure-2.10" + }, + { + "rel": "part-of", + "href": "#AAT-10" + } + ] + }, + { + "id": "AAT-10.8", + "title": "AI TEVV Fairness & Bias Assessment", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to examine fairness and bias of Artificial Intelligence (AI) and Autonomous Technologies (AAT) to be deployed." + }, + { + "name": "assessment-objective", + "id": "AAT-10.8_AAT-10.8_A01", + "prose": "the organization's Artificial Intelligence Test, Evaluation, Validation & Verification (AI TEVV) capability includes examining fairness and bias of Artificial Intelligence (AI) and Autonomous Technologies (AAT) to be deployed." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:measure-2.11" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mp-4.1-005" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-2.2-001" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:measure-2.11" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-2.11-001" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-2.11-002" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-2.11-004" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-3.3-005" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mg-2.2-004" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mg-3.2-003" + }, + { + "rel": "part-of", + "href": "#AAT-10" + } + ] + }, + { + "id": "AAT-10.9", + "title": "AI & Autonomous Technologies Model Validation", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to validate the Artificial Intelligence (AI) and Autonomous Technologies (AAT) model." + }, + { + "name": "assessment-objective", + "id": "AAT-10.9_AAT-10.9_A01", + "prose": "the organization's Artificial Intelligence Test, Evaluation, Validation & Verification (AI TEVV) capability includes validating the engineering model used in the design of the Artificial Intelligence (AI) and Autonomous Technologies (AAT) to be deployed." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.6.2.4" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:measure-2.5" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:measure-2.9" + }, + { + "rel": "part-of", + "href": "#AAT-10" + } + ] + }, + { + "id": "AAT-10.10", + "title": "AI TEVV Results Evaluation", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to evaluate the results of Artificial Intelligence Test, Evaluation, Validation & Verification (AI TEVV) to determine the viability of the proposed Artificial Intelligence (AI) and Autonomous Technologies (AAT)." + }, + { + "name": "assessment-objective", + "id": "AAT-10.10_AAT-10.10_A01", + "prose": "the organization's Artificial Intelligence Test, Evaluation, Validation & Verification (AI TEVV) capability includes a determination on the viability of the proposed Artificial Intelligence (AI) and Autonomous Technologies (AAT)." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:measure-2.13" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:manage-1.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-2.6-003" + }, + { + "rel": "part-of", + "href": "#AAT-10" + } + ] + }, + { + "id": "AAT-10.11", + "title": "AI TEVV Effectiveness", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to evaluate the effectiveness of the processes utilized to perform Artificial Intelligence Test, Evaluation, Validation & Verification (AI TEVV)." + }, + { + "name": "assessment-objective", + "id": "AAT-10.11_AAT-10.11_A01", + "prose": "After Action Reviews (AARs), or similar lessons learned exercises, are conducted after each Artificial Intelligence Test, Evaluation, Validation & Verification (AI TEVV) cycle to evaluate the effectiveness of the AI TEVV processes." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:measure-2.13" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mg-4.1-002" + }, + { + "rel": "part-of", + "href": "#AAT-10" + } + ] + }, + { + "id": "AAT-10.12", + "title": "AI TEVV Comparable Deployment Settings", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to evaluate Artificial Intelligence (AI) and Autonomous Technologies (AAT)-related performance or the assurance criteria demonstrated for conditions similar to deployment settings." + }, + { + "name": "assessment-objective", + "id": "AAT-10.12_AAT-10.12_A01", + "prose": "results from Artificial Intelligence Test, Evaluation, Validation & Verification (AI TEVV) findings are evaluated against Artificial Intelligence (AI) and Autonomous Technologies (AAT)-related performance demonstrated for conditions similar to deployment settings." + }, + { + "name": "assessment-objective", + "id": "AAT-10.12_AAT-10.12_A02", + "prose": "results from Artificial Intelligence Test, Evaluation, Validation & Verification (AI TEVV) findings are evaluated against Artificial Intelligence (AI) and Autonomous Technologies (AAT)-related assurance criteria demonstrated for conditions similar to deployment settings." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:measure-2.3" + }, + { + "rel": "part-of", + "href": "#AAT-10" + } + ] + }, + { + "id": "AAT-10.13", + "title": "AI TEVV Post-Deployment Monitoring", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to proactively and continuously monitor deployed Artificial Intelligence (AI) and Autonomous Technologies (AAT)." + }, + { + "name": "assessment-objective", + "id": "AAT-10.13_AAT-10.13_A01", + "prose": "the organization's Artificial Intelligence Test, Evaluation, Validation & Verification (AI TEVV) capability includes proactive and continuous monitoring of deployed Artificial Intelligence (AI) and Autonomous Technologies (AAT)." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.6.2.6" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.9.4" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:measure-2.4" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:measure-2.6" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:manage-4.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mp-2.3-002" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mp-4.1-001" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-1.1-006" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:manage-3.2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mg-4.1-007" + }, + { + "rel": "part-of", + "href": "#AAT-10" + } + ] + }, + { + "id": "AAT-10.14", + "title": "Updating AI & Autonomous Technologies", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to integrate continual improvements for deployed Artificial Intelligence (AI) and Autonomous Technologies (AAT)." + }, + { + "name": "assessment-objective", + "id": "AAT-10.14_AAT-10.14_A01", + "prose": "the organization's Artificial Intelligence Test, Evaluation, Validation & Verification (AI TEVV) capability integrates continual improvements for deployed Artificial Intelligence (AI) and Autonomous Technologies (AAT)." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_5.2-d" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_7.1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_9.3.2-e" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:manage-4.2" + }, + { + "rel": "part-of", + "href": "#AAT-10" + } + ] + }, + { + "id": "AAT-10.15", + "title": "AI TEVV Reporting", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to report the status and results of Artificial Intelligence Test, Evaluation, Validation & Verification (AI TEVV) to relevant stakeholders, including governing bodies, as required." + }, + { + "name": "assessment-objective", + "id": "AAT-10.15_AAT-10.15_A01", + "prose": "results from Artificial Intelligence Test, Evaluation, Validation & Verification (AI TEVV) are documented." + }, + { + "name": "assessment-objective", + "id": "AAT-10.15_AAT-10.15_A02", + "prose": "the status and results of Artificial Intelligence Test, Evaluation, Validation & Verification (AI TEVV) are reported to relevant stakeholders, including governing bodies, as required." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-2.3-003" + }, + { + "rel": "part-of", + "href": "#AAT-10" + } + ] + }, + { + "id": "AAT-10.16", + "title": "AI TEVV Empirically Validated Methods", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to evaluate claims of Artificial Intelligence (AI) and Autonomous Technologies (AAT) model capabilities using empirically validated methods." + }, + { + "name": "assessment-objective", + "id": "AAT-10.16_AAT-10.16_A01", + "prose": "an empirically validated methods to evaluate claims of Artificial Intelligence (AI) and Autonomous Technologies (AAT) model capabilities is defined." + }, + { + "name": "assessment-objective", + "id": "AAT-10.16_AAT-10.16_A02", + "prose": "the organization evaluates claims of Artificial Intelligence (AI) and Autonomous Technologies (AAT) model capabilities using an organization-defined empirically validated method." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-2.3-002" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-2.5-001" + }, + { + "rel": "part-of", + "href": "#AAT-10" + } + ] + }, + { + "id": "AAT-10.17", + "title": "AI TEVV Benchmarking Content Provenance", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to benchmark the verifiable lineage and origin of content used by Artificial Intelligence (AI) and Autonomous Technologies (AAT) according to industry-recognized standards." + }, + { + "name": "assessment-objective", + "id": "AAT-10.17_AAT-10.17_A01", + "prose": "a method to benchmark the verifiable lineage and origin of content used by Artificial Intelligence (AI) and Autonomous Technologies (AAT) according to industry-recognized standards is defined." + }, + { + "name": "assessment-objective", + "id": "AAT-10.17_AAT-10.17_A02", + "prose": "the organization benchmarks the verifiable lineage and origin of content used by Artificial Intelligence (AI) and Autonomous Technologies (AAT)." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-6.1-003" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mp-5.1-002" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-1.1-002" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-2.7-002" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-2.7-005" + }, + { + "rel": "part-of", + "href": "#AAT-10" + } + ] + }, + { + "id": "AAT-10.18", + "title": "AI TEVV Model Collapse Mitigations", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to mitigate concerns of model collapse by:\r\n(1) Assessing the proportion of synthetic to non-synthetic training data; and\r\n(2) Verifying training data is not overly homogenous or Artificial Intelligence (AI) and Autonomous Technologies (AAT) system-produced." + }, + { + "name": "assessment-objective", + "id": "AAT-10.18_AAT-10.18_A01", + "prose": "the organization mitigates concerns of model collapse by assessing the proportion of synthetic to non-synthetic training data." + }, + { + "name": "assessment-objective", + "id": "AAT-10.18_AAT-10.18_A02", + "prose": "the organization mitigates concerns of model collapse by verifying training data is not overly homogenous or Artificial Intelligence (AI) and Autonomous Technologies (AAT) system-produced." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-2.10-003" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-2.11-005" + }, + { + "rel": "part-of", + "href": "#AAT-10" + } + ] + }, + { + "id": "AAT-10.19", + "title": "AI TEVV Third-Party Risk Management", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to assess, approve and continuously monitor third-party Artificial Intelligence (AI) and Autonomous Technologies (AAT):\r\n(1) Components;\r\n(2) Application Programming Interfaces (APIs); and/or\r\n(3) Services used by AI agents for security, privacy and compliance." + }, + { + "name": "assessment-objective", + "id": "AAT-10.19_AAT-10.19_A01", + "prose": "Third-party Artificial Intelligence (AI) and Autonomous Technologies (AAT)-related components are assessed, approved and continuously monitored." + }, + { + "name": "assessment-objective", + "id": "AAT-10.19_AAT-10.19_A02", + "prose": "Third-party Artificial Intelligence (AI) and Autonomous Technologies (AAT)-related Application Programming Interfaces (APIs) are assessed, approved and continuously monitored." + }, + { + "name": "assessment-objective", + "id": "AAT-10.19_AAT-10.19_A03", + "prose": "Third-party Artificial Intelligence (AI) and Autonomous Technologies (AAT)-related services used by AI agents for security, privacy and compliance are assessed, approved and continuously monitored." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "part-of", + "href": "#AAT-10" + } + ] + }, + { + "id": "AAT-11", + "title": "Robust Stakeholder Engagement for AI & Autonomous Technologies", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to compel ongoing engagement with relevant Artificial Intelligence (AI) and Autonomous Technologies (AAT) stakeholders to encourage feedback about positive, negative and unanticipated impacts." + }, + { + "name": "assessment-objective", + "id": "AAT-11_AAT-11_A01", + "prose": "roles and responsibilities exist to compel data and/or process owners to compel robust, ongoing engagement with relevant Artificial Intelligence (AI) and Autonomous Technologies (AAT) stakeholders to encourage feedback about positive, negative and unanticipated impacts." + }, + { + "name": "assessment-objective", + "id": "AAT-11_AAT-11_A02", + "prose": "Individual Contributor (IC) performance reviews cover how data and/or process owners conducted engagement with relevant Artificial Intelligence (AI) and Autonomous Technologies (AAT) stakeholders to encourage feedback about positive, negative and unanticipated impacts." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_5.1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_7.4" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_9.3.1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_9.3.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_9.3.2-a" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_9.3.2-b" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_9.3.2-c" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_9.3.2-d" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_9.3.2-d-1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_9.3.2-d-2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_9.3.2-d-3" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_9.3.2-e" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.3.3" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.8" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.8.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.8.3" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.8.4" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.8.5" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-5.0" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:map-5.2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-4.1-003" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-4.2-001" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-4.2-002" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-4.3-003" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:govern-5.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-5.1-001" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mp-5.1-004" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:map-5.2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mp-5.2-002" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-1.1-006" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-1.1-007" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-1.1-008" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-1.3-001" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-1.3-002" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-3.3-005" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mg-2.4-001" + } + ] + }, + { + "id": "AAT-11.1", + "title": "AI & Autonomous Technologies Stakeholder Feedback Integration", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to regularly collect, consider, prioritize and integrate risk-related feedback from those external to the team that developed or deployed Artificial Intelligence (AI) and Autonomous Technologies (AAT)." + }, + { + "name": "assessment-objective", + "id": "AAT-11.1_AAT-11.1_A01", + "prose": "roles and responsibilities exist to compel data and/or process owners to regularly collect, consider, prioritize and integrate risk-related feedback from those external to the team that developed or deployed Artificial Intelligence (AI) and Autonomous Technologies (AAT)." + }, + { + "name": "assessment-objective", + "id": "AAT-11.1_AAT-11.1_A02", + "prose": "Individual Contributor (IC) performance reviews cover how data and/or process owners regularly collected, considered, prioritized and integrated risk-related feedback on Artificial Intelligence (AI) and Autonomous Technologies (AAT)." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_9.3.2-c" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.3.3" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-5.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-5.2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:manage-4.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-5.1-001" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mp-1.2-002" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:measure-1.3" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-2.10-002" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-4.2-005" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mg-2.2-006" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mg-3.2-007" + }, + { + "rel": "part-of", + "href": "#AAT-11" + } + ] + }, + { + "id": "AAT-11.2", + "title": "AI & Autonomous Technologies Ongoing Assessments", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to conduct regular assessments of Artificial Intelligence (AI) and Autonomous Technologies (AAT) with independent assessors and stakeholders not involved in the development of the AAT." + }, + { + "name": "assessment-objective", + "id": "AAT-11.2_AAT-11.2_A01", + "prose": "independent assessors and/or internal stakeholders, who did not serve as front-line developers, are utilized for regular assessments and updates of deployed Artificial Intelligence (AI) and Autonomous Technologies (AAT)." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_5.1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_9.2.1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_9.2.1-a" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_9.2.1-a-1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_9.2.1-a-2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_9.2.1-b" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.3.3" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:measure-1.3" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:measure-2.6" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:manage-4.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-2.7-009" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mg-3.1-003" + }, + { + "rel": "part-of", + "href": "#AAT-11" + } + ] + }, + { + "id": "AAT-11.3", + "title": "AI & Autonomous Technologies End User Feedback", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to collect and integrate feedback from end users and impacted communities into Artificial Intelligence (AI) and Autonomous Technologies (AAT)-related system evaluation metrics." + }, + { + "name": "assessment-objective", + "id": "AAT-11.3_AAT-11.3_A01", + "prose": "the organization collects feedback from end users and impacted communities into Artificial Intelligence (AI) and Autonomous Technologies (AAT)-related system evaluation metrics." + }, + { + "name": "assessment-objective", + "id": "AAT-11.3_AAT-11.3_A02", + "prose": "evaluation metrics from end users and impacted communities are integrated into Artificial Intelligence (AI) and Autonomous Technologies (AAT) developments." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.3.3" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:measure-3.3" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:manage-4.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-3.2-004" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-4.2-002" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-5.1-001" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mp-1.2-002" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mp-5.1-004" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-1.1-004" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-2.7-003" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-2.10-002" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:measure-3.3" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-4.2-005" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mg-2.2-006" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mg-2.2-008" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mg-3.2-004" + }, + { + "rel": "part-of", + "href": "#AAT-11" + } + ] + }, + { + "id": "AAT-11.4", + "title": "AI & Autonomous Technologies Incident & Error Reporting", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to communicate Artificial Intelligence (AI) and Autonomous Technologies (AAT)-related incidents and/or errors to relevant stakeholders, including affected communities." + }, + { + "name": "assessment-objective", + "id": "AAT-11.4_AAT-11.4_A01", + "prose": "pertinent information from Artificial Intelligence (AI) and Autonomous Technologies (AAT)-related incidents and/or errors are communicated to relevant stakeholders, including affected communities." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.8.3" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.8.4" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:manage-4.3" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:govern-6.2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:manage-4.3" + }, + { + "rel": "part-of", + "href": "#AAT-11" + } + ] + }, + { + "id": "AAT-12", + "title": "AI & Autonomous Technologies Intellectual Property Infringement Protections", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to prevent third-party Intellectual Property (IP) rights infringement by Artificial Intelligence (AI) and Autonomous Technologies (AAT)." + }, + { + "name": "assessment-objective", + "id": "AAT-12_AAT-12_A01", + "prose": "an executive steering committee, or advisory board, evaluates business practices that want to or currently use Artificial Intelligence (AI) and Autonomous Technologies (AAT)." + }, + { + "name": "assessment-objective", + "id": "AAT-12_AAT-12_A02", + "prose": "measures exist for the executive steering committee, or advisory board, to proactively identify and evaluate third-party Intellectual Property (IP) infringement risks from Artificial Intelligence (AI) and Autonomous Technologies (AAT) usage." + }, + { + "name": "assessment-objective", + "id": "AAT-12_AAT-12_A03", + "prose": "actions are taken to prevent and/or block Artificial Intelligence (AI) and Autonomous Technologies (AAT) capabilities that infringe upon another party's Intellectual Property (IP)." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.6.1.3" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.6.2.3" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-6.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:govern-6.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-6.1-001" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mp-4.1-002" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mp-4.1-006" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mp-4.1-010" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-2.6-002" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-2.8-001" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mg-3.1-004" + } + ] + }, + { + "id": "AAT-12.1", + "title": "Data Source Identification", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to identify and document data sources utilized in the training and/or operation of Artificial Intelligence and Autonomous Technologies (AAT)." + }, + { + "name": "assessment-objective", + "id": "AAT-12.1_AAT-12.1_A01", + "prose": "data sources utilized in the training and/or operation of Artificial Intelligence and Autonomous Technologies (AAT) are documented." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.4.3" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.6.1.3" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.6.2.3" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.7" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.7.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.7.3" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.7.4" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.7.5" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.7.6" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-1.5-001" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-6.1-001" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-6.1-003" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-6.1-004" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-6.1-008" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mp-2.1-001" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mp-2.1-002" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mp-2.2-001" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mp-5.1-002" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-2.2-001" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-2.2-002" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-2.5-003" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-2.5-005" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-2.10-003" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mg-2.2-002" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mg-2.2-003" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mg-4.1-006" + }, + { + "rel": "part-of", + "href": "#AAT-12" + } + ] + }, + { + "id": "AAT-12.2", + "title": "Data Source Integrity", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to protect the integrity of source data to prevent accidental contamination or malicious corruption (e.g., data poisoning) that could compromise the performance of Artificial Intelligence and Autonomous Technologies (AAT)." + }, + { + "name": "assessment-objective", + "id": "AAT-12.2_AAT-12.2_A01", + "prose": "sources of data used by Artificial Intelligence and Autonomous Technologies (AAT) are evaluated for susceptibility to compromise." + }, + { + "name": "assessment-objective", + "id": "AAT-12.2_AAT-12.2_A02", + "prose": "methods to protect integrity of source data to prevent accidental contamination or malicious corruption (e.g., data poisoning) that could compromise the performance of Artificial Intelligence and Autonomous Technologies (AAT) are implemented." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mp-2.1-002" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:map-2.3" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mp-4.1-006" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-1.1-007" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-2.7-005" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-2.7-007" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mg-2.2-002" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mg-2.2-003" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mg-4.1-006" + }, + { + "rel": "part-of", + "href": "#AAT-12" + } + ] + }, + { + "id": "AAT-12.3", + "title": "Data Source Lineage & Origin Disclosure", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure Artificial Intelligence and Autonomous Technologies (AAT) publicly disclose information with sufficient detail to assess:\r\n(1) Content lineage; and \r\n(2) The origin of data used by the AAT." + }, + { + "name": "assessment-objective", + "id": "AAT-12.3_AAT-12.3_A01", + "prose": "the organization publicly discloses information about Artificial Intelligence and Autonomous Technologies (AAT) in sufficient detail to assess content lineage." + }, + { + "name": "assessment-objective", + "id": "AAT-12.3_AAT-12.3_A02", + "prose": "the organization publicly discloses information about Artificial Intelligence and Autonomous Technologies (AAT) in sufficient detail to assess the origin of data used by the AAT." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mp-2.1-001" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mp-3.4-001" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mp-5.1-002" + }, + { + "rel": "part-of", + "href": "#AAT-12" + } + ] + }, + { + "id": "AAT-12.4", + "title": "Digital Content Modification Logging", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure Artificial Intelligence and Autonomous Technologies (AAT):\r\n(1) Enable auditing of content modifications; and \r\n(2) Generate event logs for content-related changes." + }, + { + "name": "assessment-objective", + "id": "AAT-12.4_AAT-12.4_A01", + "prose": "Artificial Intelligence and Autonomous Technologies (AAT) are configured to enable auditing of content modifications." + }, + { + "name": "assessment-objective", + "id": "AAT-12.4_AAT-12.4_A02", + "prose": "Artificial Intelligence and Autonomous Technologies (AAT) are configured to generate event logs for content-related changes." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-6.1-008" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-1.1-001" + }, + { + "rel": "part-of", + "href": "#AAT-12" + } + ] + }, + { + "id": "AAT-13", + "title": "AI & Autonomous Technologies Stakeholder Diversity", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure Artificial Intelligence (AI) and Autonomous Technologies (AAT) stakeholder competencies, skills and capacities incorporate demographic diversity, broad domain and user experience expertise." + }, + { + "name": "assessment-objective", + "id": "AAT-13_AAT-13_A01", + "prose": "stakeholder competencies, skills and capacities incorporate demographic diversity." + }, + { + "name": "assessment-objective", + "id": "AAT-13_AAT-13_A02", + "prose": "stakeholder competencies, skills and capacities incorporate broad domain expertise." + }, + { + "name": "assessment-objective", + "id": "AAT-13_AAT-13_A03", + "prose": "stakeholder competencies, skills and capacities incorporate broad user experience expertise." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.4.6" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:map-1.2" + } + ] + }, + { + "id": "AAT-13.1", + "title": "AI & Autonomous Technologies Stakeholder Competencies", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure Artificial Intelligence (AI) and Autonomous Technologies (AAT)-related operator and practitioner proficiency requirements for Artificial Intelligence (AI) and Autonomous Technologies (AAT) are defined, assessed and documented." + }, + { + "name": "assessment-objective", + "id": "AAT-13.1_AAT-13.1_A01", + "prose": "roles and responsibilities exist to compel data and/or process owners to be proficient in Artificial Intelligence (AI) and Autonomous Technologies (AAT)." + }, + { + "name": "assessment-objective", + "id": "AAT-13.1_AAT-13.1_A02", + "prose": "the organization routinely assesses Artificial Intelligence (AI) and Autonomous Technologies (AAT)-related operator and practitioner proficiency requirements." + }, + { + "name": "assessment-objective", + "id": "AAT-13.1_AAT-13.1_A03", + "prose": "roles and responsibilities are updated as Artificial Intelligence (AI) and Autonomous Technologies (AAT)-related operator and practitioner proficiency requirements evolve." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_5.1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_7.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.4.6" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:map-3.4" + }, + { + "rel": "part-of", + "href": "#AAT-13" + } + ] + }, + { + "id": "AAT-14", + "title": "AI & Autonomous Technologies Requirements Definitions", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to take socio-technical implications into account to address risks associated with Artificial Intelligence (AI) and Autonomous Technologies (AAT)." + }, + { + "name": "assessment-objective", + "id": "AAT-14_AAT-14_A01", + "prose": "the organization takes socio-technical implications into account to address risks associated with Artificial Intelligence (AI) and Autonomous Technologies (AAT)." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_4.1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_5.1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.5.4" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.5.5" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.6.2.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.6.2.3" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:map-1.6" + } + ] + }, + { + "id": "AAT-14.1", + "title": "AI & Autonomous Technologies Implementation Tasks Definition", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to define the tasks that Artificial Intelligence (AI) and Autonomous Technologies (AAT) will support (e.g., classifiers, generative models, recommenders)." + }, + { + "name": "assessment-objective", + "id": "AAT-14.1_AAT-14.1_A01", + "prose": "Artificial Intelligence (AI) and Autonomous Technologies (AAT)-related stakeholders define the tasks that AAT will support (e.g., classifiers, generative models, recommenders)." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.6.1.3" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.6.2.3" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.6.2.5" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:map-2.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:map-2.1" + }, + { + "rel": "part-of", + "href": "#AAT-14" + } + ] + }, + { + "id": "AAT-14.2", + "title": "AI & Autonomous Technologies Knowledge Limits", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to identify and document knowledge limits of Artificial Intelligence (AI) and Autonomous Technologies (AAT) to provide sufficient information to assist relevant stakeholder decision making." + }, + { + "name": "assessment-objective", + "id": "AAT-14.2_AAT-14.2_A01", + "prose": "the knowledge limits of Artificial Intelligence (AI) and Autonomous Technologies (AAT) are identified and documented." + }, + { + "name": "assessment-objective", + "id": "AAT-14.2_AAT-14.2_A02", + "prose": "stakeholders are provided the knowledge limits of Artificial Intelligence (AI) and Autonomous Technologies (AAT) to assist in decision making." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.6.1.3" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.6.2.3" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:map-2.2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:map-2.2" + }, + { + "rel": "part-of", + "href": "#AAT-14" + } + ] + }, + { + "id": "AAT-15", + "title": "AI & Autonomous Technologies Viability Decisions", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to define the criteria as to whether Artificial Intelligence (AI) and Autonomous Technologies (AAT) achieved intended purposes and stated objectives to determine whether its development or deployment should proceed." + }, + { + "name": "assessment-objective", + "id": "AAT-15_AAT-15_A01", + "prose": "an executive steering committee, or advisory board, defines criteria as to whether Artificial Intelligence (AI) and Autonomous Technologies (AAT) achieved intended purposes and stated objectives." + }, + { + "name": "assessment-objective", + "id": "AAT-15_AAT-15_A02", + "prose": "measures exist for the executive steering committee, or advisory board, to determine whether Artificial Intelligence (AI) and Autonomous Technologies (AAT) development or deployment should proceed." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_5.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:manage-1.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-4.1-002" + } + ] + }, + { + "id": "AAT-15.1", + "title": "AI & Autonomous Technologies Negative Residual Risks", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to identify and document negative, residual risks (defined as the sum of all unmitigated risks) to both downstream acquirers and end users of Artificial Intelligence (AI) and Autonomous Technologies (AAT)." + }, + { + "name": "assessment-objective", + "id": "AAT-15.1_AAT-15.1_A01", + "prose": "residual risks (defined as the sum of all unmitigated risks) to both downstream acquirers and end users of Artificial Intelligence (AI) and Autonomous Technologies (AAT) are identified." + }, + { + "name": "assessment-objective", + "id": "AAT-15.1_AAT-15.1_A02", + "prose": "residual risks (defined as the sum of all unmitigated risks) to both downstream acquirers and end users of Artificial Intelligence (AI) and Autonomous Technologies (AAT) documented in a Plan of Action & Milestones (POA&M), or similar risk register." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.2-c" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:manage-1.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:manage-1.2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:manage-1.4" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mg-1.3-001" + }, + { + "rel": "part-of", + "href": "#AAT-15" + } + ] + }, + { + "id": "AAT-15.2", + "title": "Responsibility To Supersede, Deactivate and/or Disengage AI & Autonomous Technologies", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to define the criteria and responsible party(ies) for superseding, disengaging or deactivating Artificial Intelligence (AI) and Autonomous Technologies (AAT) that demonstrate performance or outcomes inconsistent with intended use." + }, + { + "name": "assessment-objective", + "id": "AAT-15.2_AAT-15.2_A01", + "prose": "an executive steering committee, or advisory board, defines criteria for superseding, disengaging or deactivating Artificial Intelligence (AI) and Autonomous Technologies (AAT)." + }, + { + "name": "assessment-objective", + "id": "AAT-15.2_AAT-15.2_A02", + "prose": "an executive steering committee, or advisory board, assigns responsibility to responsible party(ies) for superseding, disengaging or deactivating Artificial Intelligence (AI) and Autonomous Technologies (AAT) when designated criteria are demonstrated." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_5.3" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:manage-1.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:manage-1.2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:manage-2.4" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-4.1-002" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-4.2-004" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:manage-2.4" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mg-2.4-002" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mg-2.4-004" + }, + { + "rel": "part-of", + "href": "#AAT-15" + } + ] + }, + { + "id": "AAT-16", + "title": "AI & Autonomous Technologies Production Monitoring", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to monitor the functionality and behavior of the deployed Artificial Intelligence (AI) and Autonomous Technologies (AAT)." + }, + { + "name": "assessment-objective", + "id": "AAT-16_AAT-16_A01", + "prose": "responsible party(ies) monitor the functionality and behavior of deployed Artificial Intelligence (AI) and Autonomous Technologies (AAT) for anomalous performance or outcomes inconsistent with intended use." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:sap-10" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.6.2.6" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:measure-2.4" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:measure-2.6" + } + ] + }, + { + "id": "AAT-16.1", + "title": "AI & Autonomous Technologies Measurement Approaches", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to measure Artificial Intelligence (AI) and Autonomous Technologies (AAT)-related risks to deployment context(s) through review and consultation with industry experts, domain specialists and end users." + }, + { + "name": "assessment-objective", + "id": "AAT-16.1_AAT-16.1_A01", + "prose": "a risk catalog of Artificial Intelligence (AI) and Autonomous Technologies (AAT)-specific risks is documented." + }, + { + "name": "assessment-objective", + "id": "AAT-16.1_AAT-16.1_A02", + "prose": "Artificial Intelligence (AI) and Autonomous Technologies (AAT)-related risks are identified through consultation with domain experts and other end users." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:measure-4.1" + }, + { + "rel": "part-of", + "href": "#AAT-16" + } + ] + }, + { + "id": "AAT-16.2", + "title": "Measuring AI & Autonomous Technologies Effectiveness", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to regularly assess the effectiveness of existing security, compliance and resilience controls, including reports of errors and potential impacts on affected communities." + }, + { + "name": "assessment-objective", + "id": "AAT-16.2_AAT-16.2_A01", + "prose": "cybersecurity / data privacy controls for Artificial Intelligence (AI) and Autonomous Technologies (AAT) are regularly assessed for errors and potential impacts on affected communities." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:measure-1.0" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:measure-1.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:measure-1.2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:measure-3.0" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv4.3-001" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mg-1.3-002" + }, + { + "rel": "part-of", + "href": "#AAT-16" + } + ] + }, + { + "id": "AAT-16.3", + "title": "Unmeasurable AI & Autonomous Technologies Risks", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to identify and document unmeasurable risks or trustworthiness characteristics." + }, + { + "name": "assessment-objective", + "id": "AAT-16.3_AAT-16.3_A01", + "prose": "responsible party(ies) that monitor the functionality and behavior of deployed Artificial Intelligence (AI) and Autonomous Technologies (AAT) are trained on identifying unmeasurable risks or trustworthiness characteristics." + }, + { + "name": "assessment-objective", + "id": "AAT-16.3_AAT-16.3_A02", + "prose": "unmeasurable risks or trustworthiness characteristics are reported in accordance with the organization's Incident Response Plan (IRP)." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.2-c" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:measure-1.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-1.1-009" + }, + { + "rel": "part-of", + "href": "#AAT-16" + } + ] + }, + { + "id": "AAT-16.4", + "title": "Efficacy of AI & Autonomous Technologies Measurement", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to gather and assess feedback about the efficacy of Artificial Intelligence (AI) and Autonomous Technologies (AAT)-related measurements." + }, + { + "name": "assessment-objective", + "id": "AAT-16.4_AAT-16.4_A01", + "prose": "responsible party(ies) gather feedback about efficacy of Artificial Intelligence (AI) and Autonomous Technologies (AAT)-related measurements." + }, + { + "name": "assessment-objective", + "id": "AAT-16.4_AAT-16.4_A02", + "prose": "an executive steering committee, or advisory board, assesses the efficacy of Artificial Intelligence (AI) and Autonomous Technologies (AAT)-related measurements." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:measure-4.0" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:measure-1.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mg-2.2-003" + }, + { + "rel": "part-of", + "href": "#AAT-16" + } + ] + }, + { + "id": "AAT-16.5", + "title": "AI & Autonomous Technologies Domain Expert Reviews", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to utilize input from domain experts and relevant stakeholders to validate whether the Artificial Intelligence (AI) and Autonomous Technologies (AAT) perform consistently, as intended." + }, + { + "name": "assessment-objective", + "id": "AAT-16.5_AAT-16.5_A01", + "prose": "input from domain experts and relevant stakeholders is utilized to validate whether the Artificial Intelligence (AI) and Autonomous Technologies (AAT) perform consistently, as intended." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:measure-4.2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mp-2.3-001" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:manage-4.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mg-4.1-001" + }, + { + "rel": "part-of", + "href": "#AAT-16" + } + ] + }, + { + "id": "AAT-16.6", + "title": "AI & Autonomous Technologies Performance Changes", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to evaluate performance improvements or declines with domain experts and relevant stakeholders to define context-relevant risks and trustworthiness issues." + }, + { + "name": "assessment-objective", + "id": "AAT-16.6_AAT-16.6_A01", + "prose": "an executive steering committee, or advisory board, evaluates performance improvements or declines with domain experts and relevant stakeholders to define context-relevant risks and trustworthiness issues." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:measure-4.3" + }, + { + "rel": "part-of", + "href": "#AAT-16" + } + ] + }, + { + "id": "AAT-16.7", + "title": "Pre-Trained AI & Autonomous Technologies Models", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to validate the information source(s) and quality of pre-trained models used in Artificial Intelligence (AI) and Autonomous Technologies (AAT) training, maintenance and improvement-related activities." + }, + { + "name": "assessment-objective", + "id": "AAT-16.7_AAT-16.7_A01", + "prose": "the organization utilizes pre-trained models for Artificial Intelligence (AI) and Autonomous Technologies (AAT)-related monitoring and maintenance." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:manage-3.2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mp-4.1-004" + }, + { + "rel": "part-of", + "href": "#AAT-16" + } + ] + }, + { + "id": "AAT-16.8", + "title": "AI & Autonomous Technologies Event Logging", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure Artificial Intelligence (AI) and Autonomous Technologies (AAT) system event logging capabilities at a minimum provide:\r\n(1) Start date, start time, end date and end time for each use;\r\n(2) Database(s) against which input data has been checked by the system;\r\n(3) Input data for which the search has led to a match; and\r\n(4) Identification of individual(s) involved in the verification of the results." + }, + { + "name": "assessment-objective", + "id": "AAT-16.8_AAT-16.8_A01", + "prose": "Artificial Intelligence (AI) and Autonomous Technologies (AAT) system event logging capabilities are configured to provide start date, start time, end date and end time for each use." + }, + { + "name": "assessment-objective", + "id": "AAT-16.8_AAT-16.8_A02", + "prose": "Artificial Intelligence (AI) and Autonomous Technologies (AAT) system event logging capabilities are configured to provide database(s) against which input data has been checked by the system." + }, + { + "name": "assessment-objective", + "id": "AAT-16.8_AAT-16.8_A03", + "prose": "Artificial Intelligence (AI) and Autonomous Technologies (AAT) system event logging capabilities are configured to provide input data for which the search has led to a match." + }, + { + "name": "assessment-objective", + "id": "AAT-16.8_AAT-16.8_A04", + "prose": "Artificial Intelligence (AI) and Autonomous Technologies (AAT) system event logging capabilities are configured to provide identification of individual(s) involved in the verification of the results." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-4.3-002" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:manage-4.1" + }, + { + "rel": "part-of", + "href": "#AAT-16" + } + ] + }, + { + "id": "AAT-16.9", + "title": "Serious Incident Reporting For AI & Autonomous Technologies", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to report any serious incident involving operational Artificial Intelligence (AI) and Autonomous Technologies (AAT) to relevant authorities as to when and where the serious incident occurred, in accordance with mandated reporting timelines." + }, + { + "name": "assessment-objective", + "id": "AAT-16.9_AAT-16.9_A01", + "prose": "criteria to define a \"serious incident\" involving operational Artificial Intelligence (AI) and Autonomous Technologies (AAT) is defined." + }, + { + "name": "assessment-objective", + "id": "AAT-16.9_AAT-16.9_A02", + "prose": "the organization report any serious incident involving operational Artificial Intelligence (AI) and Autonomous Technologies (AAT) to relevant authorities as to when and where the serious incident occurred, in accordance with mandated reporting timelines." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-2.1-004" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-4.3-002" + }, + { + "rel": "part-of", + "href": "#AAT-16" + } + ] + }, + { + "id": "AAT-16.10", + "title": "Serious Incident Root Cause Analysis (RCA) For AI & Autonomous Technologies", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to perform an investigation when there is a serious incident involving operational Artificial Intelligence (AI) and Autonomous Technologies (AAT) that documents a:\r\n(1) Root Cause Analysis (RCA);\r\n(2) Risk assessment of the incident; and \r\n(3) Description of corrective actions taken, including measures implemented to prevent a recurrence of the incident." + }, + { + "name": "assessment-objective", + "id": "AAT-16.10_AAT-16.10_A01", + "prose": "investigations for a \"serious incident\" of operational Artificial Intelligence (AI) and Autonomous Technologies (AAT) documents a Root Cause Analysis (RCA)." + }, + { + "name": "assessment-objective", + "id": "AAT-16.10_AAT-16.10_A02", + "prose": "investigations for a \"serious incident\" of operational Artificial Intelligence (AI) and Autonomous Technologies (AAT) documents a risk assessment of the incident." + }, + { + "name": "assessment-objective", + "id": "AAT-16.10_AAT-16.10_A03", + "prose": "investigations for a \"serious incident\" of operational Artificial Intelligence (AI) and Autonomous Technologies (AAT) documents a description of corrective actions taken, including measures implemented to prevent a recurrence of the incident." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#AAT-16" + } + ] + }, + { + "id": "AAT-16.11", + "title": "Anomaly Detection & Human Oversight", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to analyze anomalous Artificial Intelligence (AI) and Autonomous Technologies (AAT) behavior and provide escalation paths for human oversight, including:\r\n(1) Real-time review; and\r\n(2) Intervention." + }, + { + "name": "assessment-objective", + "id": "AAT-16.11_AAT-16.11_A01", + "prose": "a real-time review feature allows personnel to analyze anomalous Artificial Intelligence (AI) and Autonomous Technologies (AAT) behavior and provide escalation paths." + }, + { + "name": "assessment-objective", + "id": "AAT-16.11_AAT-16.11_A02", + "prose": "escalation paths enable human intervention to address AAT anomalies." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:sap-10" + }, + { + "rel": "part-of", + "href": "#AAT-16" + } + ] + }, + { + "id": "AAT-16.12", + "title": "Human-in-the-Loop & Escalation", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to require human review and clear escalation paths for approval for high-risk or ambiguous Artificial Intelligence (AI) and Autonomous Technologies (AAT) actions." + }, + { + "name": "assessment-objective", + "id": "AAT-16.12_AAT-16.12_A01", + "prose": "human reviews are performed to determine the root cause of high-risk or ambiguous Artificial Intelligence (AI) and Autonomous Technologies (AAT) actions." + }, + { + "name": "assessment-objective", + "id": "AAT-16.12_AAT-16.12_A02", + "prose": "clear escalation paths for approval exist for instances involving high-risk or ambiguous AAT actions." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#AAT-16" + } + ] + }, + { + "id": "AAT-16.13", + "title": "Emergent Behavior & Collusion Protections", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to detect and contain emergent or collusive behaviors among multiple Artificial Intelligence (AI) and Autonomous Technologies (AAT), including:\r\n(1) Automated or human-triggered containment; and \r\n(2) Formal investigation to determine the root cause of agentic cascades or collusion." + }, + { + "name": "assessment-objective", + "id": "AAT-16.13_AAT-16.13_A01", + "prose": "the organization has the ability to detect emergent or collusive behaviors among multiple Artificial Intelligence (AI) and Autonomous Technologies (AAT)." + }, + { + "name": "assessment-objective", + "id": "AAT-16.13_AAT-16.13_A02", + "prose": "the organization has the ability to contain emergent or collusive behaviors among multiple AAT through automated or human-triggered means." + }, + { + "name": "assessment-objective", + "id": "AAT-16.13_AAT-16.13_A03", + "prose": "formal investigation determines the root cause of agentic cascades or collusion." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#AAT-16" + } + ] + }, + { + "id": "AAT-16.14", + "title": "Multi-Agent Trust & Communication Validation", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to validate AI agent to AI agent communications to:\r\n(1) Detect poisoning or consensus manipulation; and \r\n(2) Identify rogue or compromised AI agents in distributed or multi-agent environments." + }, + { + "name": "assessment-objective", + "id": "AAT-16.14_AAT-16.14_A01", + "prose": "AI agent to AI agent communications to are validated to detect poisoning or consensus manipulation." + }, + { + "name": "assessment-objective", + "id": "AAT-16.14_AAT-16.14_A02", + "prose": "AI agent to AI agent communications to are validated to identify rogue or compromised AI agents in distributed or multi-agent environments." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#AAT-16" + } + ] + }, + { + "id": "AAT-17", + "title": "AI & Autonomous Technologies Harm Prevention", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to proactively prevent harm by regularly identifying and tracking existing, unanticipated and emergent Artificial Intelligence (AI) and Autonomous Technologies (AAT)-related risks." + }, + { + "name": "assessment-objective", + "id": "AAT-17_AAT-17_A01", + "prose": "the organization proactively identifies unanticipated and emergent Artificial Intelligence (AI) and Autonomous Technologies (AAT)-related risks." + }, + { + "name": "assessment-objective", + "id": "AAT-17_AAT-17_A02", + "prose": "the organization tracks existing, unanticipated and emergent Artificial Intelligence (AI) and Autonomous Technologies (AAT)-related risks in a Plan of Action & Milestones (POA&M), or similar risk register." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:measure-2.2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:measure-3.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-2.12-001" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mg-4.3-002" + } + ] + }, + { + "id": "AAT-17.1", + "title": "AI & Autonomous Technologies Human Subject Protections", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to protect human subjects from harm." + }, + { + "name": "assessment-objective", + "id": "AAT-17.1_AAT-17.1_A01", + "prose": "an executive steering committee, or advisory board, evaluates business practices that could pose harm to human subjects from Artificial Intelligence (AI) and Autonomous Technologies (AAT)." + }, + { + "name": "assessment-objective", + "id": "AAT-17.1_AAT-17.1_A02", + "prose": "measures exist for the executive steering committee, or advisory board, to implement safeguards to protect human subjects from harm due to Artificial Intelligence (AI) and Autonomous Technologies (AAT)." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:measure-2.2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:measure-2.2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-2.6-001" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-2.6-002" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-2.8-004" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-2.12-001" + }, + { + "rel": "part-of", + "href": "#AAT-17" + } + ] + }, + { + "id": "AAT-17.2", + "title": "AI & Autonomous Technologies Environmental Impact & Sustainability", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to assess and document the environmental impacts and sustainability of Artificial Intelligence (AI) and Autonomous Technologies (AAT)." + }, + { + "name": "assessment-objective", + "id": "AAT-17.2_AAT-17.2_A01", + "prose": "an executive steering committee, or advisory board, evaluates the environmental impacts of Artificial Intelligence (AI) and Autonomous Technologies (AAT)." + }, + { + "name": "assessment-objective", + "id": "AAT-17.2_AAT-17.2_A02", + "prose": "an executive steering committee, or advisory board, evaluates the sustainability of Artificial Intelligence (AI) and Autonomous Technologies (AAT)." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_4.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:measure-2.12" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-2.6-002" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:measure-2.12" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-2.12-002" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-2.12-003" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-2.12-004" + }, + { + "rel": "part-of", + "href": "#AAT-17" + } + ] + }, + { + "id": "AAT-17.3", + "title": "Previously Unknown AI & Autonomous Technologies Threats & Risks", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to respond to and recover from a previously unknown Artificial Intelligence (AI) and Autonomous Technologies (AAT)-related risk when it is identified." + }, + { + "name": "assessment-objective", + "id": "AAT-17.3_AAT-17.3_A01", + "prose": "an incident response capability exists to appropriately respond to previously unknown Artificial Intelligence (AI) and Autonomous Technologies (AAT)-related risk when it is identified." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.2-c" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_10.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_10.2-a" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_10.2-a-1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_10.2-a-2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_10.2-b" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_10.2-b-1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_10.2-b-2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_10.2-b-3" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_10.2-c" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_10.2-d" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_10.2-e" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:manage-2.3" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:manage-2.3" + }, + { + "rel": "part-of", + "href": "#AAT-17" + } + ] + }, + { + "id": "AAT-17.4", + "title": "Novel Risk Assessment Methods & Technologies", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to utilize novel methods and technologies for the measurement of Artificial Intelligence (AI) and Autonomous Technologies (AAT)-related risks to evaluate, if applicable:\r\n(1) Content provenance;\r\n(2) Offensive cyber capabilities; \r\n(3) Chemical, Biological, Radiological or Nuclear (CBRN) weapons; and/or \r\n(4) Other dangerous materials or agents." + }, + { + "name": "assessment-objective", + "id": "AAT-17.4_AAT-17.4_A01", + "prose": "novel methods and technologies for the measurement of Artificial Intelligence (AI) and Autonomous Technologies (AAT)-related risks are defined." + }, + { + "name": "assessment-objective", + "id": "AAT-17.4_AAT-17.4_A02", + "prose": "novel methods and technologies for the measurement of Artificial Intelligence (AI) and Autonomous Technologies (AAT)-related risks to evaluate content provenance." + }, + { + "name": "assessment-objective", + "id": "AAT-17.4_AAT-17.4_A03", + "prose": "novel methods and technologies for the measurement of Artificial Intelligence (AI) and Autonomous Technologies (AAT)-related risks to evaluate offensive cyber capabilities." + }, + { + "name": "assessment-objective", + "id": "AAT-17.4_AAT-17.4_A04", + "prose": "novel methods and technologies for the measurement of Artificial Intelligence (AI) and Autonomous Technologies (AAT)-related risks to evaluate Chemical, Biological, Radiological or Nuclear (CBRN) weapons." + }, + { + "name": "assessment-objective", + "id": "AAT-17.4_AAT-17.4_A05", + "prose": "novel methods and technologies for the measurement of Artificial Intelligence (AI) and Autonomous Technologies (AAT)-related risks to evaluate other dangerous materials or agents." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-1.1-005" + }, + { + "rel": "part-of", + "href": "#AAT-17" + } + ] + }, + { + "id": "AAT-17.5", + "title": "Fine Tuning Risk Mitigation", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure actions to fine-tune Artificial Intelligence (AI) and Autonomous Technologies (AAT) do not compromise existing security, compliance and resilience controls." + }, + { + "name": "assessment-objective", + "id": "AAT-17.5_AAT-17.5_A01", + "prose": "actions to fine-tune Artificial Intelligence (AI) and Autonomous Technologies (AAT) that do not compromise existing safety and/or security controls are defined." + }, + { + "name": "assessment-objective", + "id": "AAT-17.5_AAT-17.5_A02", + "prose": "the organization ensures actions to fine-tune Artificial Intelligence (AI) and Autonomous Technologies (AAT) do not compromise existing safety and/or security controls." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-2.7-008" + }, + { + "rel": "part-of", + "href": "#AAT-17" + } + ] + }, + { + "id": "AAT-18", + "title": "AI & Autonomous Technologies Risk Tracking Approaches", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to track Artificial Intelligence (AI) and Autonomous Technologies (AAT)-related risks are difficult to assess using currently available measurement techniques or where metrics are not yet available." + }, + { + "name": "assessment-objective", + "id": "AAT-18_AAT-18_A01", + "prose": "an executive steering committee, or advisory board, tracks Artificial Intelligence (AI) and Autonomous Technologies (AAT)-related risks are difficult to assess using currently available measurement techniques or where metrics are not yet available." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:measure-3.2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mp-5.2-001" + } + ] + }, + { + "id": "AAT-18.1", + "title": "AI & Autonomous Technologies Risk Response", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to prioritize, respond to and remediate Artificial Intelligence (AI) and Autonomous Technologies (AAT)-related risks based on assessments and other analytical output." + }, + { + "name": "assessment-objective", + "id": "AAT-18.1_AAT-18.1_A01", + "prose": "responsible party(ies) prioritize, respond to and remediate Artificial Intelligence (AI) and Autonomous Technologies (AAT)-related risks based on assessments and other analytical output." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_10.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_10.2-a" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_10.2-a-1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_10.2-a-2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_10.2-b" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_10.2-b-1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_10.2-b-2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_10.2-b-3" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_10.2-c" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_10.2-d" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_10.2-e" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:manage-1.0" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-1.3-007" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mg-2.4-003" + }, + { + "rel": "part-of", + "href": "#AAT-18" + } + ] + }, + { + "id": "AAT-19", + "title": "AI & Autonomous Technologies Conformity", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure deployed Artificial Intelligence (AI) and Autonomous Technologies (AAT) conform to applicable statutory and regulatory requirements, based on:\r\n(1) Defined use cases;\r\n(2) Geographic markets; and\r\n(3) Use of Intellectual Property (IP)." + }, + { + "name": "assessment-objective", + "id": "AAT-19_AAT-19_A01", + "prose": "the organization defines use cases for Artificial Intelligence (AI) and Autonomous Technologies (AAT)." + }, + { + "name": "assessment-objective", + "id": "AAT-19_AAT-19_A02", + "prose": "the organization defines geographic markets for Artificial Intelligence (AI) and Autonomous Technologies (AAT)." + }, + { + "name": "assessment-objective", + "id": "AAT-19_AAT-19_A03", + "prose": "the organization defines the use of Intellectual Property (IP) for Artificial Intelligence (AI) and Autonomous Technologies (AAT)." + }, + { + "name": "assessment-objective", + "id": "AAT-19_AAT-19_A04", + "prose": "the organization ensures deployed Artificial Intelligence (AI) and Autonomous Technologies (AAT) conform to applicable statutory and regulatory requirements, based on defined use cases." + }, + { + "name": "assessment-objective", + "id": "AAT-19_AAT-19_A05", + "prose": "the organization ensures deployed Artificial Intelligence (AI) and Autonomous Technologies (AAT) conform to applicable statutory and regulatory requirements, based on geographic markets." + }, + { + "name": "assessment-objective", + "id": "AAT-19_AAT-19_A06", + "prose": "the organization ensures deployed Artificial Intelligence (AI) and Autonomous Technologies (AAT) conform to applicable statutory and regulatory requirements, based on the use of Intellectual Property (IP)." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-2.6-005" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-2.10-001" + } + ] + }, + { + "id": "AAT-19.1", + "title": "Manipulative or Deceptive Techniques", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to prohibit the sale, deployment and/or use of Artificial Intelligence (AI) and Autonomous Technologies (AAT) that utilize manipulative or deceptive techniques (including biased data) to impair an individual's ability to make a reasonably informed decision." + }, + { + "name": "assessment-objective", + "id": "AAT-19.1_AAT-19.1_A01", + "prose": "the organization defines manipulative or deceptive techniques that Artificial Intelligence (AI) and Autonomous Technologies (AAT) could use to impair an individual's ability to make a reasonably informed decision." + }, + { + "name": "assessment-objective", + "id": "AAT-19.1_AAT-19.1_A02", + "prose": "the organization prohibits the sale, deployment and/or use of Artificial Intelligence (AI) and Autonomous Technologies (AAT) that utilizes manipulative or deceptive techniques (including biased data) to impair an individual's ability to make a reasonably informed decision." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#AAT-19" + } + ] + }, + { + "id": "AAT-19.2", + "title": "Materially Distorting Behaviors", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to prohibit the sale, deployment and/or use of Artificial Intelligence (AI) and Autonomous Technologies (AAT) that exploit a human subject to materially affect a targeted behavior due to their:\r\n(1) Age;\r\n(2) Disability; or \r\n(3) Specific social or economic situation." + }, + { + "name": "assessment-objective", + "id": "AAT-19.2_AAT-19.2_A01", + "prose": "the organization prohibits the sale, deployment and/or use of Artificial Intelligence (AI) and Autonomous Technologies (AAT) that exploits a human subject to materially affect a targeted behavior due to their age." + }, + { + "name": "assessment-objective", + "id": "AAT-19.2_AAT-19.2_A02", + "prose": "the organization prohibits the sale, deployment and/or use of Artificial Intelligence (AI) and Autonomous Technologies (AAT) that exploits a human subject to materially affect a targeted behavior due to their disability." + }, + { + "name": "assessment-objective", + "id": "AAT-19.2_AAT-19.2_A03", + "prose": "the organization prohibits the sale, deployment and/or use of Artificial Intelligence (AI) and Autonomous Technologies (AAT) that exploits a human subject to materially affect a targeted behavior due to their specific social or economic situation." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#AAT-19" + } + ] + }, + { + "id": "AAT-19.3", + "title": "Social Scoring", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to prohibit the sale, deployment and/or use of Artificial Intelligence (AI) and Autonomous Technologies (AAT) that: \r\n(1) Evaluate human subjects over a certain period of time based on their social behavior or known, inferred or predicted personal or personality characteristics; and\r\n(2) Assign a \"social score\" branding or equivalent classification." + }, + { + "name": "assessment-objective", + "id": "AAT-19.3_AAT-19.3_A01", + "prose": "the organization prohibits the sale, deployment and/or use of Artificial Intelligence (AI) and Autonomous Technologies (AAT) that evaluate human subjects over a certain period of time based on their social behavior or known, inferred or predicted personal or personality characteristics." + }, + { + "name": "assessment-objective", + "id": "AAT-19.3_AAT-19.3_A02", + "prose": "the organization prohibits the sale, deployment and/or use of Artificial Intelligence (AI) and Autonomous Technologies (AAT) that assign a \"social score\" branding or equivalent classification." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#AAT-19" + } + ] + }, + { + "id": "AAT-19.4", + "title": "Detrimental or Unfavorable Treatment", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to prohibit the sale, deployment and/or use of Artificial Intelligence (AI) and Autonomous Technologies (AAT) that lead to the detrimental or unfavorable treatment of certain data subjects, or groups of data subjects, in social contexts that is:\r\n(1) Are unrelated to the contexts in which the data was originally generated or collected; and/or\r\n(2) Is unjustified or disproportionate to their social behavior or its gravity." + }, + { + "name": "assessment-objective", + "id": "AAT-19.4_AAT-19.4_A01", + "prose": "the organization prohibits the sale, deployment and/or use of Artificial Intelligence (AI) and Autonomous Technologies (AAT) that lead to the detrimental or unfavorable treatment of certain data subjects, or groups of data subjects, in social contexts that are unrelated to the contexts in which the data was originally generated or collected." + }, + { + "name": "assessment-objective", + "id": "AAT-19.4_AAT-19.4_A02", + "prose": "the organization prohibits the sale, deployment and/or use of Artificial Intelligence (AI) and Autonomous Technologies (AAT) that lead to the detrimental or unfavorable treatment of certain data subjects, or groups of data subjects, in social contexts that are unjustified or disproportionate to their social behavior or its gravity." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#AAT-19" + } + ] + }, + { + "id": "AAT-19.5", + "title": "Risk and Criminal Profiling", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to prohibit the sale, deployment and/or use of Artificial Intelligence (AI) and Autonomous Technologies (AAT) that:\r\n(1) Assess the risk of an individual committing a criminal offence; and\r\n(2) Predicts risk based solely on the profiling of personality traits and characteristics." + }, + { + "name": "assessment-objective", + "id": "AAT-19.5_AAT-19.5_A01", + "prose": "the organization prohibits the sale, deployment and/or use of Artificial Intelligence (AI) and Autonomous Technologies (AAT) that assess the risk of an individual committing a criminal offence." + }, + { + "name": "assessment-objective", + "id": "AAT-19.5_AAT-19.5_A02", + "prose": "the organization prohibits the sale, deployment and/or use of Artificial Intelligence (AI) and Autonomous Technologies (AAT) that predicts risk based solely on the profiling of personality traits and characteristics." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#AAT-19" + } + ] + }, + { + "id": "AAT-19.6", + "title": "Populating Facial Recognition Databases", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to prohibit the sale, deployment and/or use of Artificial Intelligence (AI) and Autonomous Technologies (AAT) that create, or expand, facial recognition databases through scraping facial images from:\r\n(1) The Internet; or \r\n(2) Closed-Circuit Television (CCTV) footage." + }, + { + "name": "assessment-objective", + "id": "AAT-19.6_AAT-19.6_A01", + "prose": "the organization prohibits the sale, deployment and/or use of Artificial Intelligence (AI) and Autonomous Technologies (AAT) that create, or expand, facial recognition databases through scraping facial images from the Internet." + }, + { + "name": "assessment-objective", + "id": "AAT-19.6_AAT-19.6_A02", + "prose": "the organization prohibits the sale, deployment and/or use of Artificial Intelligence (AI) and Autonomous Technologies (AAT) that create, or expand, facial recognition databases through scraping facial images from the Internet or Closed-Circuit Television (CCTV) footage." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#AAT-19" + } + ] + }, + { + "id": "AAT-19.7", + "title": "Emotion Inference", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to prohibit the sale, deployment and/or use of Artificial Intelligence (AI) and Autonomous Technologies (AAT) that infer human emotions of an individual based on observed characteristics." + }, + { + "name": "assessment-objective", + "id": "AAT-19.7_AAT-19.7_A01", + "prose": "the organization prohibits the sale, deployment and/or use of Artificial Intelligence (AI) and Autonomous Technologies (AAT) that infer human emotions of an individual based on observed characteristics." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#AAT-19" + } + ] + }, + { + "id": "AAT-19.8", + "title": "Biometric Categorization", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to prohibit the sale, deployment and/or use of Artificial Intelligence (AI) and Autonomous Technologies (AAT) that categorize an individual based on their biometric data to deduce, or infer, the individual's:\r\n(1) Race; \r\n(2) Political opinions;\r\n(3) Trade union membership;\r\n(4) Religious or philosophical beliefs; \r\n(5) Sex life or sexual orientation; and/or\r\n(6) Age." + }, + { + "name": "assessment-objective", + "id": "AAT-19.8_AAT-19.8_A01", + "prose": "the organization prohibits the sale, deployment and/or use of Artificial Intelligence (AI) and Autonomous Technologies (AAT) that categorize an individual based on their biometric data to deduce, or infer, the individual's race." + }, + { + "name": "assessment-objective", + "id": "AAT-19.8_AAT-19.8_A02", + "prose": "the organization prohibits the sale, deployment and/or use of Artificial Intelligence (AI) and Autonomous Technologies (AAT) that categorize an individual based on their biometric data to deduce, or infer, the individual's political opinions." + }, + { + "name": "assessment-objective", + "id": "AAT-19.8_AAT-19.8_A03", + "prose": "the organization prohibits the sale, deployment and/or use of Artificial Intelligence (AI) and Autonomous Technologies (AAT) that categorize an individual based on their biometric data to deduce, or infer, the individual's trade union membership." + }, + { + "name": "assessment-objective", + "id": "AAT-19.8_AAT-19.8_A04", + "prose": "the organization prohibits the sale, deployment and/or use of Artificial Intelligence (AI) and Autonomous Technologies (AAT) that categorize an individual based on their biometric data to deduce, or infer, the individual's religious or philosophical beliefs." + }, + { + "name": "assessment-objective", + "id": "AAT-19.8_AAT-19.8_A05", + "prose": "the organization prohibits the sale, deployment and/or use of Artificial Intelligence (AI) and Autonomous Technologies (AAT) that categorize an individual based on their biometric data to deduce, or infer, the individual's sex life or sexual orientation." + }, + { + "name": "assessment-objective", + "id": "AAT-19.8_AAT-19.8_A06", + "prose": "the organization prohibits the sale, deployment and/or use of Artificial Intelligence (AI) and Autonomous Technologies (AAT) that categorize an individual based on their biometric data to deduce, or infer, the individual's age." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-2.10-001" + }, + { + "rel": "part-of", + "href": "#AAT-19" + } + ] + }, + { + "id": "AAT-20", + "title": "AI & Autonomous Technologies Development Practices", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Measures exist to ensure Artificial Intelligence (AI) and Autonomous Technologies (AAT) are designed and developed to:\r\n(1) Achieve an appropriate level of accuracy, robustness and cybersecurity; \r\n(2) Perform consistently in those respects throughout the AAT system's lifecycle; and\r\n(3) Be effectively overseen by competent individuals." + }, + { + "name": "assessment-objective", + "id": "AAT-20_AAT-20_A01", + "prose": "Artificial Intelligence (AI) and Autonomous Technologies (AAT) are designed and developed to achieve an appropriate level of accuracy, robustness, and cybersecurity." + }, + { + "name": "assessment-objective", + "id": "AAT-20_AAT-20_A02", + "prose": "Artificial Intelligence (AI) and Autonomous Technologies (AAT) are designed and developed to perform consistently in those respects throughout the AAT system's lifecycle." + }, + { + "name": "assessment-objective", + "id": "AAT-20_AAT-20_A03", + "prose": "Artificial Intelligence (AI) and Autonomous Technologies (AAT) are designed and developed to be effectively overseen by competent individuals." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + } + ] + }, + { + "id": "AAT-20.1", + "title": "AI & Autonomous Technologies Transparency", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure Artificial Intelligence (AI) and Autonomous Technologies (AAT) are designed and developed so its operation is sufficiently transparent such that output can be easily interpreted by personnel implementing the AAT." + }, + { + "name": "assessment-objective", + "id": "AAT-20.1_AAT-20.1_A01", + "prose": "Artificial Intelligence (AI) and Autonomous Technologies (AAT) are designed and developed so its operation is sufficiently transparent such that output can be easily interpreted by personnel implementing the AAT." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mp-2.2-002" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-2.8-003" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:measure-2.9" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-4.2-003" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mg-3.1-005" + }, + { + "rel": "part-of", + "href": "#AAT-20" + } + ] + }, + { + "id": "AAT-20.2", + "title": "AI & Autonomous Technologies Implementation Documentation", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure Artificial Intelligence (AI) and Autonomous Technologies (AAT) include clear and concise documentation that is relevant, accessible and comprehensible to personnel implementing and maintaining the AAT that, at a minimum, provides: \r\n(1) Contact details of the provider; \r\n(2) Characteristics, capabilities and limitations of performance of the AAT;\r\n(3) Errata from the AAT's initial conformity assessment;\r\n(4) Details necessary to interpret the outputs of the AAT;\r\n(5) Human oversight measures necessary to facilitate the interpretation of the outputs of the AAT;\r\n(6) Computational and hardware resources needed to operate the AAT;\r\n(7) Projected useable lifetime of the AAT; and\r\n(8) A description of the mechanisms included within the AAT system to properly collect, store and interpret event logs." + }, + { + "name": "assessment-objective", + "id": "AAT-20.2_AAT-20.2_A01", + "prose": "Artificial Intelligence (AI) and Autonomous Technologies (AAT) supporting documentation contains contact details of the provider." + }, + { + "name": "assessment-objective", + "id": "AAT-20.2_AAT-20.2_A02", + "prose": "Artificial Intelligence (AI) and Autonomous Technologies (AAT) supporting documentation contains characteristics, capabilities and limitations of performance of the AAT." + }, + { + "name": "assessment-objective", + "id": "AAT-20.2_AAT-20.2_A03", + "prose": "Artificial Intelligence (AI) and Autonomous Technologies (AAT) supporting documentation contains errata from the AAT's initial conformity assessment." + }, + { + "name": "assessment-objective", + "id": "AAT-20.2_AAT-20.2_A04", + "prose": "Artificial Intelligence (AI) and Autonomous Technologies (AAT) supporting documentation contains details necessary to interpret the outputs of the AAT." + }, + { + "name": "assessment-objective", + "id": "AAT-20.2_AAT-20.2_A05", + "prose": "Artificial Intelligence (AI) and Autonomous Technologies (AAT) supporting documentation contains human oversight measures necessary to facilitate the interpretation of the outputs of the AAT." + }, + { + "name": "assessment-objective", + "id": "AAT-20.2_AAT-20.2_A06", + "prose": "Artificial Intelligence (AI) and Autonomous Technologies (AAT) supporting documentation contains computational and hardware resources needed to operate the AAT." + }, + { + "name": "assessment-objective", + "id": "AAT-20.2_AAT-20.2_A07", + "prose": "Artificial Intelligence (AI) and Autonomous Technologies (AAT) supporting documentation contains projected useable lifetime of the AAT." + }, + { + "name": "assessment-objective", + "id": "AAT-20.2_AAT-20.2_A08", + "prose": "Artificial Intelligence (AI) and Autonomous Technologies (AAT) supporting documentation contains a description of the mechanisms included within the AAT system to properly collect, store and interpret event logs." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:measure-2.3" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-2.9-002" + }, + { + "rel": "part-of", + "href": "#AAT-20" + } + ] + }, + { + "id": "AAT-20.3", + "title": "AI & Autonomous Technologies Human Domain Knowledge Reliance", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to document the extent to which human domain knowledge is employed to improve Artificial Intelligence (AI) and Autonomous Technologies (AAT) performance including:\r\n(1) Reinforcement Learning from Human Feedback (RLHF);\r\n(2) Fine-tuning;\r\n(3) Retrieval- augmented generation;\r\n(4) Content moderation; and\r\n(5) Business rules." + }, + { + "name": "assessment-objective", + "id": "AAT-20.3_AAT-20.3_A01", + "prose": "documentation covering the extent to which human domain knowledge is employed to improve Artificial Intelligence (AI) and Autonomous Technologies (AAT) performance includes reinforcement Learning from Human Feedback (RLHF)." + }, + { + "name": "assessment-objective", + "id": "AAT-20.3_AAT-20.3_A02", + "prose": "documentation covering the extent to which human domain knowledge is employed to improve Artificial Intelligence (AI) and Autonomous Technologies (AAT) performance includes fine-tuning." + }, + { + "name": "assessment-objective", + "id": "AAT-20.3_AAT-20.3_A03", + "prose": "documentation covering the extent to which human domain knowledge is employed to improve Artificial Intelligence (AI) and Autonomous Technologies (AAT) performance includes retrieval- augmented generation." + }, + { + "name": "assessment-objective", + "id": "AAT-20.3_AAT-20.3_A04", + "prose": "documentation covering the extent to which human domain knowledge is employed to improve Artificial Intelligence (AI) and Autonomous Technologies (AAT) performance includes content moderation." + }, + { + "name": "assessment-objective", + "id": "AAT-20.3_AAT-20.3_A05", + "prose": "documentation covering the extent to which human domain knowledge is employed to improve Artificial Intelligence (AI) and Autonomous Technologies (AAT) performance includes business rules." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-2.5-002" + }, + { + "rel": "part-of", + "href": "#AAT-20" + } + ] + }, + { + "id": "AAT-21", + "title": "AI & Autonomous Technologies Registration", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to maintain a current registration for Artificial Intelligence (AI) and Autonomous Technologies (AAT) with the appropriate governing body, as required by statutory or regulatory requirements." + }, + { + "name": "assessment-objective", + "id": "AAT-21_AAT-21_A01", + "prose": "the organization identifies appropriate governing bodies that require the registration of Artificial Intelligence (AI) and Autonomous Technologies (AAT)." + }, + { + "name": "assessment-objective", + "id": "AAT-21_AAT-21_A02", + "prose": "the organization maintains a current registration for Artificial Intelligence (AI) and Autonomous Technologies (AAT) with the appropriate governing body, as required by statutory or regulatory requirements." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + } + ] + }, + { + "id": "AAT-22", + "title": "AI & Autonomous Technologies Deployment", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure the deployment of Artificial Intelligence (AI) and Autonomous Technologies (AAT) includes appropriate technical and organizational measures so that AAT are used in accordance with the AAT developer-provided instructions for use." + }, + { + "name": "assessment-objective", + "id": "AAT-22_AAT-22_A01", + "prose": "Artificial Intelligence (AI) and Autonomous Technologies (AAT) includes appropriate technical and organizational measures so that AAT are used in accordance with the AAT developer-provided instructions for use." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + } + ] + }, + { + "id": "AAT-22.1", + "title": "AI & Autonomous Technologies Human Oversight", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to assign human oversight of Artificial Intelligence (AI) and Autonomous Technologies (AAT) to prevent or minimize the risks to:\r\n(1) Health; \r\n(2) Safety; and/or \r\n(3) Fundamental rights." + }, + { + "name": "assessment-objective", + "id": "AAT-22.1_AAT-22.1_A01", + "prose": "human oversight of Artificial Intelligence (AI) and Autonomous Technologies (AAT) to prevent or minimize the risks is assigned to one, or more, individuals." + }, + { + "name": "assessment-objective", + "id": "AAT-22.1_AAT-22.1_A02", + "prose": "human oversight of Artificial Intelligence (AI) and Autonomous Technologies (AAT) focuses on preventing, or minimizing, risks associated with an individual's health." + }, + { + "name": "assessment-objective", + "id": "AAT-22.1_AAT-22.1_A03", + "prose": "human oversight of Artificial Intelligence (AI) and Autonomous Technologies (AAT) focuses on preventing, or minimizing, risks associated with an individual's safety." + }, + { + "name": "assessment-objective", + "id": "AAT-22.1_AAT-22.1_A04", + "prose": "human oversight of Artificial Intelligence (AI) and Autonomous Technologies (AAT) focuses on preventing, or minimizing, risks associated with an individual's fundamental rights." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#AAT-22" + } + ] + }, + { + "id": "AAT-22.2", + "title": "AI & Autonomous Technologies Oversight Measures", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure Artificial Intelligence (AI) and Autonomous Technologies (AAT) oversight measures are commensurate with the:\r\n(1) Assessed risk(s); \r\n(2) Level of autonomy; and \r\n(3) Context of use." + }, + { + "name": "assessment-objective", + "id": "AAT-22.2_AAT-22.2_A01", + "prose": "oversight measures for Artificial Intelligence (AI) and Autonomous Technologies (AAT) are commensurate with the AAT's assessed risk(s)." + }, + { + "name": "assessment-objective", + "id": "AAT-22.2_AAT-22.2_A02", + "prose": "oversight measures for Artificial Intelligence (AI) and Autonomous Technologies (AAT) are commensurate with the AAT's level of autonomy." + }, + { + "name": "assessment-objective", + "id": "AAT-22.2_AAT-22.2_A03", + "prose": "oversight measures for Artificial Intelligence (AI) and Autonomous Technologies (AAT) are commensurate with the AAT's context of use." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#AAT-22" + } + ] + }, + { + "id": "AAT-22.3", + "title": "AI & Autonomous Technologies Separate Verification", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure no action or decision is taken by the deployer of an Artificial Intelligence (AI) and Autonomous Technologies (AAT) based solely based on AAT-generated evidence, unless that evidence has been separately verified and confirmed by at least two (2) individuals with the necessary competence, training and authority." + }, + { + "name": "assessment-objective", + "id": "AAT-22.3_AAT-22.3_A01", + "prose": "no action or decision able to be taken by the deployer of an Artificial Intelligence (AI) and Autonomous Technologies (AAT) based solely on the basis of AAT-generated evidence, unless that evidence has been separately verified and confirmed by at least two (2) individuals with the necessary competence, training and authority." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#AAT-22" + } + ] + }, + { + "id": "AAT-22.4", + "title": "AI & Autonomous Technologies Oversight Functions Competency", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure the deployment of Artificial Intelligence (AI) and Autonomous Technologies (AAT) assigns human oversight to individuals who have the necessary:\r\n(1) Competence;\r\n(2) Training;\r\n(3) Authority; and\r\n(4) Resources." + }, + { + "name": "assessment-objective", + "id": "AAT-22.4_AAT-22.4_A01", + "prose": "human oversight of Artificial Intelligence (AI) and Autonomous Technologies (AAT) is assigned to individuals who have the necessary competence." + }, + { + "name": "assessment-objective", + "id": "AAT-22.4_AAT-22.4_A02", + "prose": "human oversight of Artificial Intelligence (AI) and Autonomous Technologies (AAT) is assigned to individuals who have the necessary training." + }, + { + "name": "assessment-objective", + "id": "AAT-22.4_AAT-22.4_A03", + "prose": "human oversight of Artificial Intelligence (AI) and Autonomous Technologies (AAT) is assigned to individuals who have the necessary authority." + }, + { + "name": "assessment-objective", + "id": "AAT-22.4_AAT-22.4_A04", + "prose": "human oversight of Artificial Intelligence (AI) and Autonomous Technologies (AAT) is assigned to individuals who have the necessary resources." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#AAT-22" + } + ] + }, + { + "id": "AAT-22.5", + "title": "AI & Autonomous Technologies Data Relevance", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure the input to Artificial Intelligence (AI) and Autonomous Technologies (AAT) is relevant to the intended purpose of the AAT." + }, + { + "name": "assessment-objective", + "id": "AAT-22.5_AAT-22.5_A01", + "prose": "input to Artificial Intelligence (AI) and Autonomous Technologies (AAT) limited to what is relevant to the intended purpose of the AAT." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#AAT-22" + } + ] + }, + { + "id": "AAT-22.6", + "title": "AI & Autonomous Technologies Irregularity Reporting", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure serious incidents and/or irregularities associated with the deployment of Artificial Intelligence (AI) and Autonomous Technologies (AAT) are reported without delay to the:\r\n(1) AAT provider;\r\n(2) AAT importer or distributor, if applicable; and/or\r\n(3) Local law authorities and/or governmental agency, as required." + }, + { + "name": "assessment-objective", + "id": "AAT-22.6_AAT-22.6_A01", + "prose": "serious incidents and/or irregularities associated with the deployment of Artificial Intelligence (AI) and Autonomous Technologies (AAT) are reported without delay to the AAT provider." + }, + { + "name": "assessment-objective", + "id": "AAT-22.6_AAT-22.6_A02", + "prose": "serious incidents and/or irregularities associated with the deployment of Artificial Intelligence (AI) and Autonomous Technologies (AAT) are reported without delay to the AAT importer or distributor, if applicable." + }, + { + "name": "assessment-objective", + "id": "AAT-22.6_AAT-22.6_A03", + "prose": "serious incidents and/or irregularities associated with the deployment of Artificial Intelligence (AI) and Autonomous Technologies (AAT) are reported without delay to local law authorities and/or governmental agency, as required." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#AAT-22" + } + ] + }, + { + "id": "AAT-22.7", + "title": "AI & Autonomous Technologies Use Notification To Employees", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure employees, including workers' representatives, are informed about Artificial Intelligence (AI) and Autonomous Technologies (AAT) deployments, prior to the use of the AAT in a production environment." + }, + { + "name": "assessment-objective", + "id": "AAT-22.7_AAT-22.7_A01", + "prose": "methods to identify employees, including workers' representatives, are defined." + }, + { + "name": "assessment-objective", + "id": "AAT-22.7_AAT-22.7_A02", + "prose": "employees, including workers' representatives, are identified." + }, + { + "name": "assessment-objective", + "id": "AAT-22.7_AAT-22.7_A03", + "prose": "ensure employees, including workers' representatives, are informed about Artificial Intelligence (AI) and Autonomous Technologies (AAT) deployments, prior to the use of the AAT in a production environment." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mp-5.1-003" + }, + { + "rel": "part-of", + "href": "#AAT-22" + } + ] + }, + { + "id": "AAT-22.8", + "title": "AI & Autonomous Technologies Use Notification To Users", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure Artificial Intelligence (AI) and Autonomous Technologies (AAT) that make decisions, or assist in making decisions, inform the people in a clear manner that they are:\r\n(1) Utilizing an AAT solution; and\r\n(2) Expected to validate the output for relevance and accuracy." + }, + { + "name": "assessment-objective", + "id": "AAT-22.8_AAT-22.8_A01", + "prose": "when Artificial Intelligence (AI) and Autonomous Technologies (AAT) are used to make decisions, or assist in making decisions, affected people are notified in a clear manner that they are utilizing an AAT solution." + }, + { + "name": "assessment-objective", + "id": "AAT-22.8_AAT-22.8_A02", + "prose": "when AAT are used to make decisions, or assist in making decisions, affected people are notified in a clear manner that they are expected to validate the output for relevance and accuracy." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mp-5.1-003" + }, + { + "rel": "part-of", + "href": "#AAT-22" + } + ] + }, + { + "id": "AAT-23", + "title": "AI & Autonomous Technologies Output Marking", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to mark output from Artificial Intelligence (AI) and Autonomous Technologies (AAT) in a machine-readable format so it is detectable as artificially generated or manipulated." + }, + { + "name": "assessment-objective", + "id": "AAT-23_AAT-23_A01", + "prose": "Artificial Intelligence (AI) and Autonomous Technologies (AAT) output is marked in a machine-readable format so it is detectable as artificially generated or manipulated." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mp-4.1-009" + } + ] + }, + { + "id": "AAT-24", + "title": "Real World Testing of AI & Autonomous Technologies", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to obtain consent from the subjects of testing Artificial Intelligence (AI) and Autonomous Technologies (AAT):\r\n(1) Prior to their participation in such testing; and\r\n(2) After they have been provided with clear and concise information regarding the testing." + }, + { + "name": "assessment-objective", + "id": "AAT-24_AAT-24_A01", + "prose": "consent is obtained from the subjects of testing Artificial Intelligence (AI) and Autonomous Technologies (AAT) prior to their participation in such testing." + }, + { + "name": "assessment-objective", + "id": "AAT-24_AAT-24_A02", + "prose": "consent is obtained from the subjects of testing Artificial Intelligence (AI) and Autonomous Technologies (AAT) after their having been provided with clear and concise information regarding the testing." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + } + ] + }, + { + "id": "AAT-25", + "title": "AI & Autonomous Technologies System Value Chain", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to document the sequence of events and relevant stakeholders involved in creating and deploying Artificial Intelligence (AI) and Autonomous Technologies (AAT)." + }, + { + "name": "assessment-objective", + "id": "AAT-25_AAT-25_A01", + "prose": "the sequence of events involved in creating and deploying Artificial Intelligence (AI) and Autonomous Technologies (AAT) is documented." + }, + { + "name": "assessment-objective", + "id": "AAT-25_AAT-25_A02", + "prose": "the relevant stakeholders involved in creating and deploying Artificial Intelligence (AI) and Autonomous Technologies (AAT) is documented." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-6.2-001" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-4.2-002" + } + ] + }, + { + "id": "AAT-25.1", + "title": "AI & Autonomous Technologies System Value Chain Fallbacks", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to identify:\r\n(1) Over-reliance on third-party data with Artificial Intelligence (AI) and Autonomous Technologies (AAT); and\r\n(2) Fallback methods to address the inability to access third-party data, as necessary." + }, + { + "name": "assessment-objective", + "id": "AAT-25.1_AAT-25.1_A01", + "prose": "over-reliance on third-party data with Artificial Intelligence (AI) and Autonomous Technologies (AAT) is identified." + }, + { + "name": "assessment-objective", + "id": "AAT-25.1_AAT-25.1_A02", + "prose": "fallback methods are identified to address the inability to access third-party data, as necessary." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-6.2-001" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-6.2-006" + }, + { + "rel": "part-of", + "href": "#AAT-25" + } + ] + }, + { + "id": "AAT-26", + "title": "AI & Autonomous Technologies Testing Techniques", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to develop and implement fact-checking techniques to verify the accuracy and veracity of information generated by Artificial Intelligence (AI) and Autonomous Technologies (AAT)." + }, + { + "name": "assessment-objective", + "id": "AAT-26_AAT-26_A01", + "prose": "fact-checking techniques are developed to verify the accuracy and veracity of information generated by Artificial Intelligence (AI) and Autonomous Technologies (AAT)." + }, + { + "name": "assessment-objective", + "id": "AAT-26_AAT-26_A02", + "prose": "fact-checking techniques are implemented to verify the accuracy and veracity of information generated by Artificial Intelligence (AI) and Autonomous Technologies (AAT)." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mp-2.3-003" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-1.1-002" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-2.2-002" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-2.5-003" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-2.6-004" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-2.9-001" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-2.11-001" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-4.2-001" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mg-3.1-004" + } + ] + }, + { + "id": "AAT-26.1", + "title": "Generative Artificial Intelligence (GAI) Identification", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to develop and implement testing techniques to identify Generative Artificial Intelligence (GAI) produced content (e.g., synthetic media)." + }, + { + "name": "assessment-objective", + "id": "AAT-26.1_AAT-26.1_A01", + "prose": "testing techniques are developed to identify Generative Artificial Intelligence (GAI) produced content (e.g., synthetic media)." + }, + { + "name": "assessment-objective", + "id": "AAT-26.1_AAT-26.1_A02", + "prose": "testing techniques are implemented to identify Generative Artificial Intelligence (GAI) produced content (e.g., synthetic media)." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mp-2.3-004" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-2.5-004" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-2.8-003" + }, + { + "rel": "part-of", + "href": "#AAT-26" + } + ] + }, + { + "id": "AAT-26.2", + "title": "AI & Autonomous Technologies Capabilities Testing", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to delineate human proficiency tests from tests of Artificial Intelligence (AI) and Autonomous Technologies (AAT) capabilities." + }, + { + "name": "assessment-objective", + "id": "AAT-26.2_AAT-26.2_A01", + "prose": "techniques to delineate human proficiency tests from tests of Artificial Intelligence (AI) and Autonomous Technologies (AAT) capabilities are developed." + }, + { + "name": "assessment-objective", + "id": "AAT-26.2_AAT-26.2_A02", + "prose": "techniques to delineate human proficiency tests from tests of Artificial Intelligence (AI) and Autonomous Technologies (AAT) capabilities are implemented." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mp-3.4-004" + }, + { + "rel": "part-of", + "href": "#AAT-26" + } + ] + }, + { + "id": "AAT-26.3", + "title": "Real-World Testing", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to include relevant end-users, practitioners and operators in Artificial Intelligence (AI) and Autonomous Technologies (AAT) prototyping and testing activities to cover:\r\n(1) Applicable use case scenarios;\r\n(2) Crisis situations; and/or \r\n(3) Ethically sensitive contexts." + }, + { + "name": "assessment-objective", + "id": "AAT-26.3_AAT-26.3_A01", + "prose": "relevant end-users, practitioners and operators in Artificial Intelligence (AI) and Autonomous Technologies (AAT) prototyping and testing activities are included to cover applicable use case scenarios." + }, + { + "name": "assessment-objective", + "id": "AAT-26.3_AAT-26.3_A02", + "prose": "relevant end-users, practitioners and operators in Artificial Intelligence (AI) and Autonomous Technologies (AAT) prototyping and testing activities are included to cover crisis situations." + }, + { + "name": "assessment-objective", + "id": "AAT-26.3_AAT-26.3_A03", + "prose": "relevant end-users, practitioners and operators in Artificial Intelligence (AI) and Autonomous Technologies (AAT) prototyping and testing activities are included to cover ethically sensitive contexts." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mp-3.4-006" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-1.1-008" + }, + { + "rel": "part-of", + "href": "#AAT-26" + } + ] + }, + { + "id": "AAT-26.4", + "title": "Documenting Testing Guidance", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to document the instructions given to:\r\n(1) Data annotators; and/or \r\n(2) Artificial Intelligence (AI) and Autonomous Technologies (AAT) red-teamers." + }, + { + "name": "assessment-objective", + "id": "AAT-26.4_AAT-26.4_A01", + "prose": "instructions for data annotators are documented." + }, + { + "name": "assessment-objective", + "id": "AAT-26.4_AAT-26.4_A02", + "prose": "instructions for Artificial Intelligence (AI) and Autonomous Technologies (AAT) red-teamers are documented." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-2.8-002" + }, + { + "rel": "part-of", + "href": "#AAT-26" + } + ] + }, + { + "id": "AAT-27", + "title": "AI & Autonomous Technologies Output Filtering", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to prevent Artificial Intelligence (AI) and Autonomous Technologies (AAT) from generating content that is:\r\n(1) Inappropriate;\r\n(2) Harmful;\r\n(3) False;\r\n(4) Illegal; and/or\r\n(5) Violent." + }, + { + "name": "assessment-objective", + "id": "AAT-27_AAT-27_A01", + "prose": "Artificial Intelligence (AI) and Autonomous Technologies (AAT) are prevented from generating content that is inappropriate." + }, + { + "name": "assessment-objective", + "id": "AAT-27_AAT-27_A02", + "prose": "Artificial Intelligence (AI) and Autonomous Technologies (AAT) are prevented from generating content that is harmful." + }, + { + "name": "assessment-objective", + "id": "AAT-27_AAT-27_A03", + "prose": "Artificial Intelligence (AI) and Autonomous Technologies (AAT) are prevented from generating content that is false." + }, + { + "name": "assessment-objective", + "id": "AAT-27_AAT-27_A04", + "prose": "Artificial Intelligence (AI) and Autonomous Technologies (AAT) are prevented from generating content that is illegal." + }, + { + "name": "assessment-objective", + "id": "AAT-27_AAT-27_A05", + "prose": "Artificial Intelligence (AI) and Autonomous Technologies (AAT) are prevented from generating content that is violent." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mp-1.1-004" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mp-4.1-009" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mg-2.2-005" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mg-3.2-005" + } + ] + }, + { + "id": "AAT-27.1", + "title": "Human Moderation", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to assign personnel to review Artificial Intelligence (AI) and Autonomous Technologies (AAT)-generated content for alignment with culturally accepted norms." + }, + { + "name": "assessment-objective", + "id": "AAT-27.1_AAT-27.1_A01", + "prose": "competent personnel are assigned the task to review Artificial Intelligence (AI) and Autonomous Technologies (AAT)-generated content for alignment with culturally accepted norms." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mg-3.2-008" + }, + { + "rel": "part-of", + "href": "#AAT-27" + } + ] + }, + { + "id": "AAT-28", + "title": "AI Model Resilience", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure AI models are designed with resilience capabilities that are sufficient to withstand reasonable threats." + }, + { + "name": "assessment-objective", + "id": "AAT-28_AAT-28_A01", + "prose": "evidence supports the claim that AI models are designed with resilience capabilities that are sufficient to withstand reasonable threats." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + } + ] + }, + { + "id": "AAT-28.1", + "title": "Model Pollution", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to prevent \"model pollution\" due to accidental and/or malicious inputs by an AI agent that can negatively alter the AI model." + }, + { + "name": "assessment-objective", + "id": "AAT-28.1_AAT-28.1_A01", + "prose": "technical controls prevent \"model pollution\" due to accidental and/or malicious inputs by an AI agent that can negatively alter the AI model." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#AAT-28" + } + ] + }, + { + "id": "AAT-28.2", + "title": "Cascading Hallucination Defense", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to detect and prevent the propagation of false data (e.g., hallucinations) within the AI model or between AI agents." + }, + { + "name": "assessment-objective", + "id": "AAT-28.2_AAT-28.2_A01", + "prose": "a capability exists to detect false data (e.g., hallucinations) within the AI model or between AI agents." + }, + { + "name": "assessment-objective", + "id": "AAT-28.2_AAT-28.2_A02", + "prose": "a capability exists to prevent the propagation of false data (e.g., hallucinations) within the AI model or between AI agents." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#AAT-28" + } + ] + }, + { + "id": "AAT-28.3", + "title": "Resource Exhaustion & DoS Resilience", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to monitor and prevent resource overload or Denial of Service (DoS) conditions through:\r\n(1) Enforcement of quotas;\r\n(2) Workload controls; and \r\n(3) Auto-suspension of runaway AI agent processes." + }, + { + "name": "assessment-objective", + "id": "AAT-28.3_AAT-28.3_A01", + "prose": "Denial of Service (DoS) conditions are monitored." + }, + { + "name": "assessment-objective", + "id": "AAT-28.3_AAT-28.3_A02", + "prose": "Denial of Service (DoS) conditions are prevented through enforcement of quotas." + }, + { + "name": "assessment-objective", + "id": "AAT-28.3_AAT-28.3_A03", + "prose": "Denial of Service (DoS) conditions are prevented through workload controls." + }, + { + "name": "assessment-objective", + "id": "AAT-28.3_AAT-28.3_A04", + "prose": "Denial of Service (DoS) conditions are prevented through auto-suspension of runaway AI agent processes." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#AAT-28" + } + ] + }, + { + "id": "AAT-29", + "title": "AI Agent Governance", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure AI agents are designed, developed and deployed to securely operate under human oversight." + }, + { + "name": "assessment-objective", + "id": "AAT-29_AAT-29_A01", + "prose": "AI agents are designed to securely operate under human oversight." + }, + { + "name": "assessment-objective", + "id": "AAT-29_AAT-29_A02", + "prose": "AI agents are developed to securely operate under human oversight." + }, + { + "name": "assessment-objective", + "id": "AAT-29_AAT-29_A03", + "prose": "AI agents are deployed to securely operate under human oversight." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + } + ] + }, + { + "id": "AAT-29.1", + "title": "Infrastructure Hardening & Isolation", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to protect, isolate and harden infrastructure resources used by AI agents, including:\r\n(1) Resource allocation;\r\n(2) Privilege management;\r\n(3) Network segmentation; and \r\n(4) Workload isolation." + }, + { + "name": "assessment-objective", + "id": "AAT-29.1_AAT-29.1_A01", + "prose": "infrastructure resources used by AI agents are protected through resource allocation." + }, + { + "name": "assessment-objective", + "id": "AAT-29.1_AAT-29.1_A02", + "prose": "infrastructure resources used by AI agents are protected through privilege management." + }, + { + "name": "assessment-objective", + "id": "AAT-29.1_AAT-29.1_A03", + "prose": "infrastructure resources used by AI agents are protected through network segmentation." + }, + { + "name": "assessment-objective", + "id": "AAT-29.1_AAT-29.1_A04", + "prose": "infrastructure resources used by AI agents are protected through workload isolation." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#AAT-29" + } + ] + }, + { + "id": "AAT-29.2", + "title": "AI Agent Limitations", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to implement limitations for AI agents according to:\r\n(1) Least privileges, where the AI agent operates with the minimal permissions necessary to perform designated tasks; and\r\n(2) Least functionality, where the AI agent is restricted to communicate with the minimal Technology Assets, Applications and/or Services (TAAS) and networks necessary to perform designated tasks." + }, + { + "name": "assessment-objective", + "id": "AAT-29.2_AAT-29.2_A01", + "prose": "AI agents implement limitations according to least privileges, where the AI agent operates with the minimal permissions necessary to perform designated tasks." + }, + { + "name": "assessment-objective", + "id": "AAT-29.2_AAT-29.2_A02", + "prose": "AI agents implement limitations according to least functionality, where the AI agent is restricted to communicate with the minimal Assets, Applications & Services (AAS) and networks necessary to perform designated tasks." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#AAT-29" + } + ] + }, + { + "id": "AAT-29.3", + "title": "Tool & API Invocation Controls", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to authenticate, authorize, validate and monitor all tool and Application Programming Interface (API) invocations by AI agents, including;\r\n(1) Schema validation;\r\n(2) Rate limiting;\r\n(3) Access controls; and\r\n(4) Output validation." + }, + { + "name": "assessment-objective", + "id": "AAT-29.3_AAT-29.3_A01", + "prose": "tool and Application Programming Interface (API) invocations by AI agents include schema validation." + }, + { + "name": "assessment-objective", + "id": "AAT-29.3_AAT-29.3_A02", + "prose": "tool and API invocations by AI agents include rate limiting." + }, + { + "name": "assessment-objective", + "id": "AAT-29.3_AAT-29.3_A03", + "prose": "tool and API invocations by AI agents include access controls." + }, + { + "name": "assessment-objective", + "id": "AAT-29.3_AAT-29.3_A04", + "prose": "tool and API invocations by AI agents include output validation." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#AAT-29" + } + ] + }, + { + "id": "AAT-29.4", + "title": "Orchestration Protocol Safeguards", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to validate, secure and restrict AI agent orchestration protocols to prevent:\r\n(1) Unauthorized tool chaining;\r\n(2) Context manipulation; and/or\r\n(3) Protocol-based escalation." + }, + { + "name": "assessment-objective", + "id": "AAT-29.4_AAT-29.4_A01", + "prose": "AI agent orchestration protocols are configured to prevent unauthorized tool chaining." + }, + { + "name": "assessment-objective", + "id": "AAT-29.4_AAT-29.4_A02", + "prose": "AI agent orchestration protocols are configured to prevent context manipulation." + }, + { + "name": "assessment-objective", + "id": "AAT-29.4_AAT-29.4_A03", + "prose": "AI agent orchestration protocols are configured to prevent protocol-based escalation." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#AAT-29" + } + ] + }, + { + "id": "AAT-29.5", + "title": "Data Pipeline & Input Integrity", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to validate, sanitize and monitor all data inputs and retrieval pipelines for AI agents to:\r\n(1) Ensure data provenance; and \r\n(2) Prevent unauthorized access risks (e.g., injection, manipulation or exfiltration)." + }, + { + "name": "assessment-objective", + "id": "AAT-29.5_AAT-29.5_A01", + "prose": "data inputs and retrieval pipelines for AI agents ensure data provenance." + }, + { + "name": "assessment-objective", + "id": "AAT-29.5_AAT-29.5_A02", + "prose": "data inputs and retrieval pipelines for AI agents prevent unauthorized access risks (e.g., injection, manipulation or exfiltration)." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#AAT-29" + } + ] + }, + { + "id": "AAT-29.6", + "title": "Privileged Role & Delegation Boundaries", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to prevent privilege escalation or unauthorized delegation by AI agents by:\r\n(1) Monitoring and enforcing dynamic roles; and\r\n(2) Establishing cross-agent delegation boundaries and privileged actions." + }, + { + "name": "assessment-objective", + "id": "AAT-29.6_AAT-29.6_A01", + "prose": "instances of privilege escalation or unauthorized delegation by AI agents is monitored for." + }, + { + "name": "assessment-objective", + "id": "AAT-29.6_AAT-29.6_A02", + "prose": "privilege escalation or unauthorized delegation by AI agents is prevented dynamic role enforcement." + }, + { + "name": "assessment-objective", + "id": "AAT-29.6_AAT-29.6_A03", + "prose": "privilege escalation or unauthorized delegation by AI agents is prevented through establishing cross-agent delegation boundaries and privileged actions." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#AAT-29" + } + ] + }, + { + "id": "AAT-29.7", + "title": "AI Agent Data Access Restrictions", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to restrict agent access to sensitive/regulated data so that AI agents cannot ingest, generate or act on unauthorized data." + }, + { + "name": "assessment-objective", + "id": "AAT-29.7_AAT-29.7_A01", + "prose": "AI agent access to sensitive/regulated data is restricted so that AI agents cannot ingest, generate or act on unauthorized data." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#AAT-29" + } + ] + }, + { + "id": "AAT-29.8", + "title": "Data Extraction", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to prevent AI agents from extracting sensitive/regulated data from volatile memory that can be exploited at a later point." + }, + { + "name": "assessment-objective", + "id": "AAT-29.8_AAT-29.8_A01", + "prose": "AI agents are prevented from extracting sensitive/regulated data from volatile memory." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#AAT-29" + } + ] + }, + { + "id": "AAT-29.9", + "title": "AI Agent Identity & Impersonation Defense", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure user identification and authentication methods are capable of preventing AI agents from \r\n(1) Spoofing;\r\n(2) Mimicry; and/or\r\n(3) Impersonation attacks." + }, + { + "name": "assessment-objective", + "id": "AAT-29.9_AAT-29.9_A01", + "prose": "user identification and authentication methods are capable of preventing AI agents from spoofing." + }, + { + "name": "assessment-objective", + "id": "AAT-29.9_AAT-29.9_A02", + "prose": "user identification and authentication methods are capable of preventing AI agents from mimicry." + }, + { + "name": "assessment-objective", + "id": "AAT-29.9_AAT-29.9_A03", + "prose": "user identification and authentication methods are capable of preventing AI agents from impersonation attacks." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#AAT-29" + } + ] + }, + { + "id": "AAT-29.10", + "title": "AI Agent Logic Integrity", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to prevent AI agent logic from being subverted or manipulated." + }, + { + "name": "assessment-objective", + "id": "AAT-29.10_AAT-29.10_A01", + "prose": "AI agent logic is protected from being subverted or manipulated." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#AAT-29" + } + ] + }, + { + "id": "AAT-29.11", + "title": "Sandboxing AI Agents", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to utilize a \"sandbox\" capability to restrict AI agents from unrestricted access to both local and remote resources." + }, + { + "name": "assessment-objective", + "id": "AAT-29.11_AAT-29.11_A01", + "prose": "a \"sandbox\" capability restricts AI agents from unrestricted access to local resources (e.g., Data, Assets, Applications & Services (DAAS) on the local LAN)." + }, + { + "name": "assessment-objective", + "id": "AAT-29.11_AAT-29.11_A02", + "prose": "a \"sandbox\" capability restricts AI agents from unrestricted access to remote resources (e.g., Internet-based DAAS)." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#AAT-29" + } + ] + }, + { + "id": "AAT-29.12", + "title": "Prompt Injection Defense", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to detect and mitigate prompt injection / input attacks that seek to manipulate AI agent instructions, bypass security, compliance and/or resilience controls or result in unauthorized actions." + }, + { + "name": "assessment-objective", + "id": "AAT-29.12_AAT-29.12_A01", + "prose": "prompt injection / input attacks that seek to manipulate AI agent instructions, bypass controls or result in unauthorized actions can be detected." + }, + { + "name": "assessment-objective", + "id": "AAT-29.12_AAT-29.12_A02", + "prose": "means to prevent or mitigate prompt injection / input attacks that seek to manipulate AI agent instructions, bypass controls or result in unauthorized actions are implemented." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#AAT-29" + } + ] + }, + { + "id": "AAT-29.13", + "title": "Agent Kill Switch / User Control", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to allow authorized users or operators to immediately halt or disable AI agent activity in case of unexpected behavior or harm." + }, + { + "name": "assessment-objective", + "id": "AAT-29.13_AAT-29.13_A01", + "prose": "authorized users or operators have the ability to immediately halt or disable AI agent activity in case of unexpected behavior or harm." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#AAT-29" + } + ] + }, + { + "id": "AAT-29.14", + "title": "Adversarial & Red Team Testing", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to regularly conduct adversarial testing that simulates attacks against AI agents to identify and mitigate vulnerabilities." + }, + { + "name": "assessment-objective", + "id": "AAT-29.14_AAT-29.14_A01", + "prose": "adversarial testing that simulates attacks against AI agents to identify and mitigate vulnerabilities is regularly conducted." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#AAT-29" + } + ] + }, + { + "id": "AAT-29.15", + "title": "Self-Modification Controls", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to control, restrict and log AI agent self-modification." + }, + { + "name": "assessment-objective", + "id": "AAT-29.15_AAT-29.15_A01", + "prose": "AI agent self-modification is controlled / restricted." + }, + { + "name": "assessment-objective", + "id": "AAT-29.15_AAT-29.15_A02", + "prose": "AI agent self-modification actions are logged." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#AAT-29" + } + ] + }, + { + "id": "AAT-29.16", + "title": "Purging AI Agent Data", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to restrict purging of any persistent memory or long-term data used by AI agents." + }, + { + "name": "assessment-objective", + "id": "AAT-29.16_AAT-29.16_A01", + "prose": "unauthorized purging of persistent memory or long-term data used by AI agents is prevented." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#AAT-29" + } + ] + }, + { + "id": "AAT-29.17", + "title": "Delegation and Chaining Control", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to restrict agentic delegation, chaining and multi-agent communication to prevent unauthorized task escalation or emergent risks." + }, + { + "name": "assessment-objective", + "id": "AAT-29.17_AAT-29.17_A01", + "prose": "agentic delegation, chaining and/or multi-agent communication is controlled to prevent unauthorized task escalation or emergent risks." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#AAT-29" + } + ] + }, + { + "id": "AAT-29.18", + "title": "Behavioral Drift Detection", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to continuously monitor for behavioral drift or deviation from established AI agent baselines." + }, + { + "name": "assessment-objective", + "id": "AAT-29.18_AAT-29.18_A01", + "prose": "indicators of behavioral drift or deviation from established AI agent baselines is continuously monitor for." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#AAT-29" + } + ] + }, + { + "id": "AAT-29.19", + "title": "AI Agent Action Authentication & Authorization", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure that all AI agent-initiated actions are properly mapped to authenticated user or system identities, with enforced authorization checks." + }, + { + "name": "assessment-objective", + "id": "AAT-29.19_AAT-29.19_A01", + "prose": "AI agent-initiated actions are properly mapped to authenticated user or system identities, with enforced authorization checks." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#AAT-29" + } + ] + }, + { + "id": "AAT-29.20", + "title": "Transparency & Audit", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to provide comprehensive audit trails of AI agent actions including:\r\n(1) Rationales; and \r\n(2) User/trigger mappings." + }, + { + "name": "assessment-objective", + "id": "AAT-29.20_AAT-29.20_A01", + "prose": "comprehensive audit trails of AI agent actions provide rationales." + }, + { + "name": "assessment-objective", + "id": "AAT-29.20_AAT-29.20_A02", + "prose": "comprehensive audit trails of AI agent actions provide user/trigger mappings." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#AAT-29" + } + ] + }, + { + "id": "AAT-29.21", + "title": "Explainability", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to:\r\n(1) Provide human-understandable explanations for significant AI agent actions or decisions; and \r\n(2) Enable users to contest outcomes." + }, + { + "name": "assessment-objective", + "id": "AAT-29.21_AAT-29.21_A01", + "prose": "human-understandable explanations for significant AI agent actions or decisions are provided to users." + }, + { + "name": "assessment-objective", + "id": "AAT-29.21_AAT-29.21_A02", + "prose": "end users are able to contest AI agent-generated outcomes." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#AAT-29" + } + ] + }, + { + "id": "AAT-29.22", + "title": "Ethics, Fairness & Bias Detection", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to detect unfair, unethical or biased AI agent actions." + }, + { + "name": "assessment-objective", + "id": "AAT-29.22_AAT-29.22_A01", + "prose": "the organization has the capability to identify unfair, unethical or biased AI agent actions." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#AAT-29" + } + ] + }, + { + "id": "AAT-29.23", + "title": "Agent Output Integrity & Verification", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to validate AI agent-generated outputs through the use of:\r\n(1) Content scanning; and\r\n(2) Output vetting through human approvals, where appropriate." + }, + { + "name": "assessment-objective", + "id": "AAT-29.23_AAT-29.23_A01", + "prose": "AI agent-generated outputs are validated through content scanning." + }, + { + "name": "assessment-objective", + "id": "AAT-29.23_AAT-29.23_A02", + "prose": "AI agent-generated outputs are validated through output vetting that uses human approvals, where appropriate." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#AAT-29" + } + ] + }, + { + "id": "AAT-30", + "title": "Agentic Output Traceability & Repudiation", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure AI agent actions offer non-repudiation and enable forensic examination to determine accountability." + }, + { + "name": "assessment-objective", + "id": "AAT-30_AAT-30_A01", + "prose": "AI agent actions include non-repudiation to determine accountability." + }, + { + "name": "assessment-objective", + "id": "AAT-30_AAT-30_A02", + "prose": "AI agent actions are able to be forensically examined to determine accountability." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + } + ] + }, + { + "id": "AAT-30.1", + "title": "AI Agent Logging", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to generate event logs for Artificial Intelligence (AI) and Autonomous Technologies (AAT) actions to ensure transparency and auditability." + }, + { + "name": "assessment-objective", + "id": "AAT-30.1_AAT-30.1_A01", + "prose": "event logs are generated in an industry-supported format for Artificial Intelligence (AI) and Autonomous Technologies (AAT) actions." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#AAT-30" + } + ] + }, + { + "id": "AAT-30.2", + "title": "Session Management", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to control AI agent sessions by:\r\n(1) Embedding session IDs into the requests to the AI model;\r\n(2) Implementing capabilities to correlate sessions; and\r\n(3) Terminating sessions after a defined time period." + }, + { + "name": "assessment-objective", + "id": "AAT-30.2_AAT-30.2_A01", + "prose": "AI agent sessions are controlled by embedding session IDs into the requests to the AI model." + }, + { + "name": "assessment-objective", + "id": "AAT-30.2_AAT-30.2_A02", + "prose": "AI agent sessions are controlled by implementing capabilities to correlate sessions." + }, + { + "name": "assessment-objective", + "id": "AAT-30.2_AAT-30.2_A03", + "prose": "AI agent sessions are controlled by terminating sessions after a defined time period." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#AAT-30" + } + ] + }, + { + "id": "AAT-31", + "title": "Human-in-the-Loop Workload & Manipulation", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to prevent cognitive overload or decision fatigue for humans-in-the-loop (HITL) through risk-based prioritization." + }, + { + "name": "assessment-objective", + "id": "AAT-31_AAT-31_A01", + "prose": "risk-based prioritization is implemented to prevent cognitive overload or decision fatigue for humans-in-the-loop (HITL)." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + } + ] + }, + { + "id": "AAT-32", + "title": "Robotic Process Automation (RPA)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to implement Robotic Process Automation (RPA) to improve efficiency, accuracy and speed for high-volume, repetitive and rules-based business processes." + }, + { + "name": "assessment-objective", + "id": "AAT-32_AAT-32_A01", + "prose": "Robotic Process Automation (RPA) is implemented to improve efficiency, accuracy and speed in instances of high-volume, repetitive and rules-based business processes." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + } + ] + }, + { + "id": "AAT-32.1", + "title": "Business Process Task Enumeration", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to identify and enumerate business process task activities that can be executed both manually and in an automated fashion." + }, + { + "name": "assessment-objective", + "id": "AAT-32.1_AAT-32.1_A01", + "prose": "business process task activities that can be executed both manually and in an automated fashion are identified." + }, + { + "name": "assessment-objective", + "id": "AAT-32.1_AAT-32.1_A02", + "prose": "business process task activities that can be executed both manually and in an automated fashion are categorized." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#AAT-32" + } + ] + } + ] + }, + { + "id": "asset-management", + "title": "Asset Management", + "controls": [ + { + "id": "AST-01", + "title": "Asset Governance", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "AST-01" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management", + "value": "3.5.2.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.33", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.34", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.35", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.36", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.37", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.38", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.39", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.40", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to facilitate an IT Asset Management (ITAM) program to implement and manage asset management controls." + }, + { + "name": "assessment-objective", + "id": "AST-01_AST-01_A01", + "prose": "an authoritative source and repository are established to provide a trusted source and accountability for approved and implemented systems and system components." + }, + { + "name": "assessment-objective", + "id": "AST-01_AST-01_A02", + "prose": "the frequency at which to review / update the system and system component inventory is defined." + }, + { + "name": "assessment-objective", + "id": "AST-01_AST-01_A03", + "prose": "an inventory of systems and system components that is at the level of granularity deemed necessary for tracking and reporting is developed and documented." + }, + { + "name": "assessment-objective", + "id": "AST-01_AST-01_A04", + "prose": "IT Asset Management (ITAM) operations are conducted according to documented policies, standards, procedures and/or other organizational directives." + }, + { + "name": "assessment-objective", + "id": "AST-01_AST-01_A05", + "prose": "adequate resources (e.g., people, processes, technologies, data and/or facilities) are provided to support IT Asset Management (ITAM) operations." + }, + { + "name": "assessment-objective", + "id": "AST-01_AST-01_A06", + "prose": "responsibility and authority for the performance of IT Asset Management (ITAM)-related activities are assigned to designated personnel." + }, + { + "name": "assessment-objective", + "id": "AST-01_AST-01_A07", + "prose": "personnel performing IT Asset Management (ITAM)-related activities have the skills and knowledge needed to perform their assigned duties." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_1.0" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_2.0" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_2.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_2.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_2.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_2.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_2.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_2.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_2.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_2.2" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai09.04" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai09.05" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:asm-02" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.31" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_7.9" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_11.2.6" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.30" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.31" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_7.9" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-2.0" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:id.im-p" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:pr.ds-p3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-37-r2:task-p-18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:pm-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pm-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pm-05" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.308-a-7" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.310-d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pm-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pm-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pm-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pm-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pm-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:pm-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:pm-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:pm-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.4.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.8.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.18.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.11.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.07.04.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-5" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-04" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.am" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.am-08" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.5.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_6.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_9.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_9.5.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_9.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_9.5.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_9.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_9.5.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_11.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.5.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_11.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.5.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-p2pe:_9.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-p2pe:_9.5.1.1" + } + ] + }, + { + "id": "AST-01.1", + "title": "Asset-Service Dependencies", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "AST-01.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management.1", + "value": "3.5.2.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management.2", + "value": "3.5.2.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to identify and assess the security of Technology Assets, Applications and/or Services (TAAS) that support more than one critical business function." + }, + { + "name": "assessment-objective", + "id": "AST-01.1_AST-01.1_A01", + "prose": "asset-service dependencies are identified and documented." + }, + { + "name": "assessment-objective", + "id": "AST-01.1_AST-01.1_A02", + "prose": "asset-service dependencies are assessed to evaluate cybersecurity / data privacy concerns for technology assets that support more than one critical business function." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo09.01" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai04.02" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai09.02" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.9" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_8.1.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.9" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.30" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:id.im-p8" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.308-a-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-1" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.oc" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-04" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.am" + }, + { + "rel": "part-of", + "href": "#AST-01" + } + ] + }, + { + "id": "AST-01.2", + "title": "Stakeholder Identification & Involvement", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "AST-01.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to identify and involve pertinent stakeholders of critical Technology Assets, Applications, Services and/or Data (TAASD) to support the ongoing secure management of those assets." + }, + { + "name": "assessment-objective", + "id": "AST-01.2_AST-01.2_A01", + "prose": "pertinent stakeholders of critical systems, applications and services are identified and documented." + }, + { + "name": "assessment-objective", + "id": "AST-01.2_AST-01.2_A02", + "prose": "pertinent stakeholders of critical systems, applications and services are involved in supporting the ongoing secure management of those assets." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:edm05.01" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:edm05.02" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:edm05.03" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai01.03" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_4.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_4.2-a" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.9" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_8.1.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.9" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_4.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_9.3.2-c" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.4.6" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.8" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.8.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.8.3" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.8.4" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.8.5" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-1.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-2.0" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-5.0" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:id.im-p8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-37-r2:task-p-9" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.oc" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.oc-02" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.am" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.am-08" + }, + { + "rel": "part-of", + "href": "#AST-01" + } + ] + }, + { + "id": "AST-01.3", + "title": "Standardized Naming Convention", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to implement a scalable, standardized naming convention for Technology Assets, Applications, Services and/or Data (TAASD) that avoids asset naming conflicts." + }, + { + "name": "assessment-objective", + "id": "AST-01.3_AST-01.3_A01", + "prose": "a scalable, standardized naming convention exists for systems, applications and services that avoids asset naming conflicts." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dcs-09" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:asm-04" + }, + { + "rel": "part-of", + "href": "#AST-01" + } + ] + }, + { + "id": "AST-01.4", + "title": "Approved Technologies", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to maintain a current list of approved technologies (hardware and software)." + }, + { + "name": "assessment-objective", + "id": "AST-01.4_AST-01.4_A01", + "prose": "the list of authorized software programs is reviewed / updated per an organization-defined frequency." + }, + { + "name": "assessment-objective", + "id": "AST-01.4_AST-01.4_A02", + "prose": "the list of authorized software programs is reviewed and updated ." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.04.08.c" + }, + { + "rel": "part-of", + "href": "#AST-01" + } + ] + }, + { + "id": "AST-01.5", + "title": "Authorized To Connect", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to maintain a list of Technology Asset, Application and/or Service (TAAS) that are authorized to connect to organizational Technology Assets, Applications, Services and/or Data (TAASD)." + }, + { + "name": "assessment-objective", + "id": "AST-01.5_AST-01.5_A01", + "prose": "Technology Asset, Application and/or Service (TAAS) that are authorized to connect to organizational Technology Assets, Applications, Services and/or Data (TAASD) are identified." + }, + { + "name": "assessment-objective", + "id": "AST-01.5_AST-01.5_A02", + "prose": "Identity & Access Management (IAM) personnel maintain a list of TAAS that are authorized to connect to organizational TAASD." + }, + { + "name": "overview", + "class": "errata", + "prose": "- new control (SCF)" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "part-of", + "href": "#AST-01" + } + ] + }, + { + "id": "AST-02", + "title": "Asset Inventories", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "AST-02" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management", + "value": "3.5.2.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to perform inventories of Technology Assets, Applications, Services and/or Data (TAASD) that:\r\n(1) Accurately reflects the current TAASD in use; \r\n(2) Identifies authorized software products, including business justification details;\r\n(3) Is at the level of granularity deemed necessary for tracking and reporting;\r\n(4) Includes organization-defined information deemed necessary to achieve effective property accountability; and\r\n(5) Is available for review and audit by designated organizational personnel." + }, + { + "name": "assessment-objective", + "id": "AST-02_AST-02_A01", + "prose": "a documented, up-to-date, complete, accurate and readily available inventory of systems and system components exists." + }, + { + "name": "assessment-objective", + "id": "AST-02_AST-02_A02", + "prose": "the system inventory includes hardware, software, firmware and documentation." + }, + { + "name": "assessment-objective", + "id": "AST-02_AST-02_A03", + "prose": "the inventory is maintained (reviewed / updated) throughout the system development life cycle." + }, + { + "name": "assessment-objective", + "id": "AST-02_AST-02_A04", + "prose": "approved systems and system components are identified." + }, + { + "name": "assessment-objective", + "id": "AST-02_AST-02_A05", + "prose": "information deemed necessary to achieve effective systems and system component accountability is defined." + }, + { + "name": "assessment-objective", + "id": "AST-02_AST-02_A06", + "prose": "the frequency at which to update the inventory of systems and system components is defined." + }, + { + "name": "assessment-objective", + "id": "AST-02_AST-02_A07", + "prose": "the inventory of systems and system components is updated per an organization-defined frequency." + }, + { + "name": "assessment-objective", + "id": "AST-02_AST-02_A08", + "prose": "the frequency at which to review and update the system component inventory is defined." + }, + { + "name": "assessment-objective", + "id": "AST-02_AST-02_A09", + "prose": "an inventory of system components is developed and documented." + }, + { + "name": "assessment-objective", + "id": "AST-02_AST-02_A10", + "prose": "the system component inventory is reviewed ." + }, + { + "name": "assessment-objective", + "id": "AST-02_AST-02_A11", + "prose": "the system component inventory is updated ." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_1.0" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_1.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_2.0" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_2.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_2.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_2.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_6.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_1.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_2.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_2.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_1.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_2.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_2.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_2.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_6.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_1.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_2.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_2.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_2.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_6.6" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo14.08" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai09.01" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai09.05" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dcs-07" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dsp-03" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:uem-04" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:asm-01" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:snt-04" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:cm-1.1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:cm-1.1-a" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:cm-1.1-b" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:cm-1.1-c" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:cm-1.1-d" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:cm-1.1-e" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:cm-1.1-f" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:cm-1.1-g" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:cm-1.1-h" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:cm-1.1-i" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-7.8" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-7.8" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.9" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_8.1.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.9" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-1.6" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:govern-1.6" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-1.6-001" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-1.6-002" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:id.im-p1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-37-r2:task-p-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cm-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:pm-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cm-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pm-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:cm-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pm-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:cm-08" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.310-d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cm-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pm-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:cm-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pm-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:cm-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pm-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cm-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pm-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:cm-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pm-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:cm-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:cm-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:pm-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:cm-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:pm-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:cm-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:pm-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.4.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.08.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.08.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.10.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.10.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.11.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.4.1-d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.4.1-e" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.4.1-f" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.04.10.odp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.04.10.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.04.10.b-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.04.10.b-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.1.2e" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-1" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.am" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.am-01" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.am-02" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.5.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_6.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_9.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_9.5.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_9.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_9.5.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_9.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_9.5.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_11.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.5.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_11.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.5.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-p2pe:_9.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-p2pe:_9.5.1.1" + } + ] + }, + { + "id": "AST-02.1", + "title": "Updates During Installations / Removals", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "AST-02.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to update asset inventories as part of component installations, removals and asset upgrades." + }, + { + "name": "assessment-objective", + "id": "AST-02.1_AST-02.1_A01", + "prose": "the system component inventory is updated as part of component installations." + }, + { + "name": "assessment-objective", + "id": "AST-02.1_AST-02.1_A02", + "prose": "the system component inventory is updated as part of component removals." + }, + { + "name": "assessment-objective", + "id": "AST-02.1_AST-02.1_A03", + "prose": "the system component inventory is updated as part of system updates." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cm-8-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cm-08-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:cm-08-01" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.310-d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cm-08-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:cm-08-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cm-08-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:cm-8-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:cm-8-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.10.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.10.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.10.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.4.1-f" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.04.10.c-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.04.10.c-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.04.10.c-03" + }, + { + "rel": "part-of", + "href": "#AST-02" + } + ] + }, + { + "id": "AST-02.2", + "title": "Automated Unauthorized Component Detection", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to detect and alert upon the detection of unauthorized hardware, software and firmware components." + }, + { + "name": "assessment-objective", + "id": "AST-02.2_AST-02.2_A01", + "prose": "automated mechanisms used to detect the presence of unauthorized hardware within the system are defined." + }, + { + "name": "assessment-objective", + "id": "AST-02.2_AST-02.2_A02", + "prose": "the frequency at which automated mechanisms are used to detect the presence of unauthorized hardware, software and/or firmware within the system is defined." + }, + { + "name": "assessment-objective", + "id": "AST-02.2_AST-02.2_A03", + "prose": "automated mechanisms disable network access by unauthorized components, isolate unauthorized components and/or notify organization-defined personnel or roles." + }, + { + "name": "assessment-objective", + "id": "AST-02.2_AST-02.2_A04", + "prose": "personnel or roles to be notified when unauthorized components are detected is/are defined." + }, + { + "name": "assessment-objective", + "id": "AST-02.2_AST-02.2_A05", + "prose": "organization-defined actions are taken when unauthorized hardware, software and/or firmware is/are detected." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_1.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_1.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_1.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_2.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_2.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_1.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_2.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_1.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_1.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_2.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_2.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_1.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_1.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_1.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_2.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_2.4" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:snt-04" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:org-2.2-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cm-8-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cm-08-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:cm-08-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:cm-08-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cm-08-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:cm-08-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cm-08-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:cm-08-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-6" + }, + { + "rel": "part-of", + "href": "#AST-02" + } + ] + }, + { + "id": "AST-02.3", + "title": "Component Duplication Avoidance", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "AST-02.3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to establish and maintain an authoritative source and repository to provide a trusted source and accountability for approved and implemented system components that prevents assets from being duplicated in other asset inventories." + }, + { + "name": "assessment-objective", + "id": "AST-02.3_AST-02.3_A01", + "prose": "an inventory of system components that accurately reflects the system is developed and documented." + }, + { + "name": "assessment-objective", + "id": "AST-02.3_AST-02.3_A02", + "prose": "an inventory of system components that includes all components within the system is developed and documented." + }, + { + "name": "assessment-objective", + "id": "AST-02.3_AST-02.3_A03", + "prose": "an inventory of system components that does not include duplicate accounting of components or components assigned to any other system is developed and documented." + }, + { + "name": "assessment-objective", + "id": "AST-02.3_AST-02.3_A04", + "prose": "an inventory of system components that includes information is developed and documented." + }, + { + "name": "assessment-objective", + "id": "AST-02.3_AST-02.3_A05", + "prose": "the system component inventory is reviewed / updated frequently." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_1.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_1.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_1.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cm-8-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cm-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:cm-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:cm-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cm-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:cm-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:cm-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cm-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:cm-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:cm-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:cm-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:cm-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:cm-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:nfo-cm-8-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-1" + }, + { + "rel": "part-of", + "href": "#AST-02" + } + ] + }, + { + "id": "AST-02.4", + "title": "Approved Baseline Deviations", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "AST-02.4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to document and govern instances of approved deviations from established baseline configurations." + }, + { + "name": "assessment-objective", + "id": "AST-02.4_AST-02.4_A01", + "prose": "assessed component configurations are included in the system component inventory." + }, + { + "name": "assessment-objective", + "id": "AST-02.4_AST-02.4_A02", + "prose": "any approved deviations to current deployed configurations are included in the system component inventory." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#iec-tr-60601-4-5-2021:_5.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cm-8-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cm-08-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cm-08-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:cm-8-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:cm-8-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.02.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.06.a" + }, + { + "rel": "part-of", + "href": "#AST-02" + } + ] + }, + { + "id": "AST-02.5", + "title": "Network Access Control (NAC)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "AST-02.5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to employ Network Access Control (NAC), or a similar technology, which is capable of detecting unauthorized devices and disable network access to those unauthorized devices." + }, + { + "name": "assessment-objective", + "id": "AST-02.5_AST-02.5_A01", + "prose": "system components that are known, authenticated, in a properly configured state or in a trust profile are identified." + }, + { + "name": "assessment-objective", + "id": "AST-02.5_AST-02.5_A02", + "prose": "automated or manual/procedural mechanisms to prohibit system components from connecting to organizational systems are identified." + }, + { + "name": "assessment-objective", + "id": "AST-02.5_AST-02.5_A03", + "prose": "automated or manual/procedural mechanisms are employed to prohibit system components from connecting to organizational systems unless the components are known, authenticated, in a properly configured state or in a trust profile." + }, + { + "name": "assessment-objective", + "id": "AST-02.5_AST-02.5_A04", + "prose": "configuration management process to be employed to handle device identification and authentication based on attestation is defined." + }, + { + "name": "assessment-objective", + "id": "AST-02.5_AST-02.5_A05", + "prose": "device identification and authentication are handled based on attestation by configuration management process." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_13.9" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_13.9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ia-3-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ia-03-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-07-19" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ia-03-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-07-19" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sc-7-19" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sc-7-19" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.5.3e" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-6" + }, + { + "rel": "part-of", + "href": "#AST-02" + } + ] + }, + { + "id": "AST-02.6", + "title": "Dynamic Host Configuration Protocol (DHCP) Server Logging", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to enable Dynamic Host Configuration Protocol (DHCP) server logging to improve asset inventories and assist in detecting unknown systems." + }, + { + "name": "assessment-objective", + "id": "AST-02.6_AST-02.6_A01", + "prose": "Dynamic Host Configuration Protocol (DHCP) server logging is implemented." + }, + { + "name": "assessment-objective", + "id": "AST-02.6_AST-02.6_A02", + "prose": "DHCP server logging is utilized to detect unknown systems." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_1.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_1.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_1.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_1.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_1.5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-7" + }, + { + "rel": "part-of", + "href": "#AST-02" + } + ] + }, + { + "id": "AST-02.7", + "title": "Software Licensing Restrictions", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to protect Intellectual Property (IP) rights with software licensing restrictions." + }, + { + "name": "assessment-objective", + "id": "AST-02.7_AST-02.7_A01", + "prose": "administrative practices identify software licensing restrictions to ensure compliance with End User Licensing Agreements (EULA)." + }, + { + "name": "assessment-objective", + "id": "AST-02.7_AST-02.7_A02", + "prose": "software inventories are automatically or manually reviewed for software licensing compliance." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_2.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_2.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_2.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_2.2" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai09.05" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.32" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_18.1.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.32" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-18-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-18-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sc-18-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-18-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sc-18-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sc-18-2" + }, + { + "rel": "part-of", + "href": "#AST-02" + } + ] + }, + { + "id": "AST-02.8", + "title": "Data Action Mapping", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "AST-02.8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to create and maintain a map of Technology Assets, Applications and/or Services (TAAS) where sensitive/regulated data is stored, transmitted or processed." + }, + { + "name": "assessment-objective", + "id": "AST-02.8_AST-02.8_A01", + "prose": "a map of system data actions is developed and documented." + }, + { + "name": "assessment-objective", + "id": "AST-02.8_AST-02.8_A02", + "prose": "the location of sensitive / regulated data is identified and documented." + }, + { + "name": "assessment-objective", + "id": "AST-02.8_AST-02.8_A03", + "prose": "the system components on which sensitive / regulated data is processed are identified and documented." + }, + { + "name": "assessment-objective", + "id": "AST-02.8_AST-02.8_A04", + "prose": "the system components on which sensitive / regulated data is stored are identified and documented." + }, + { + "name": "assessment-objective", + "id": "AST-02.8_AST-02.8_A05", + "prose": "changes to the system or system component location where sensitive / regulated data is processed are documented." + }, + { + "name": "assessment-objective", + "id": "AST-02.8_AST-02.8_A06", + "prose": "changes to the system or system component location where sensitive / regulated data is stored are documented." + }, + { + "name": "assessment-objective", + "id": "AST-02.8_AST-02.8_A07", + "prose": "the location of CUI is identified and documented." + }, + { + "name": "assessment-objective", + "id": "AST-02.8_AST-02.8_A08", + "prose": "the system components on which CUI is processed are identified and documented." + }, + { + "name": "assessment-objective", + "id": "AST-02.8_AST-02.8_A09", + "prose": "the system components on which CUI is stored are identified and documented." + }, + { + "name": "assessment-objective", + "id": "AST-02.8_AST-02.8_A10", + "prose": "changes to the system or system component location where CUI is processed are documented." + }, + { + "name": "assessment-objective", + "id": "AST-02.8_AST-02.8_A11", + "prose": "changes to the system or system component location where CUI is stored are documented." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.9" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_8.1.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.9" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:id.im-p4" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:id.im-p5" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:id.im-p6" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:id.im-p8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cm-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cm-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:cm-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:cm-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:cm-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.11.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.11.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.04.11.a-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.04.11.a-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.04.11.a-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.04.11.b-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.04.11.b-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.1.3e" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-7" + }, + { + "rel": "part-of", + "href": "#AST-02" + } + ] + }, + { + "id": "AST-02.9", + "title": "Configuration Management Database (CMDB)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "AST-02.9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to implement and manage a Configuration Management Database (CMDB), or similar technology, to monitor and govern technology asset-specific information." + }, + { + "name": "assessment-objective", + "id": "AST-02.9_AST-02.9_A01", + "prose": "a centralized repository for the system and system component inventory is provided." + }, + { + "name": "assessment-objective", + "id": "AST-02.9_AST-02.9_A02", + "prose": "automated mechanisms used to maintain the currency of the system component inventory are defined." + }, + { + "name": "assessment-objective", + "id": "AST-02.9_AST-02.9_A03", + "prose": "automated mechanisms used to maintain the completeness of the system component inventory are defined." + }, + { + "name": "assessment-objective", + "id": "AST-02.9_AST-02.9_A04", + "prose": "automated mechanisms used to maintain the accuracy of the system component inventory are defined." + }, + { + "name": "assessment-objective", + "id": "AST-02.9_AST-02.9_A05", + "prose": "automated mechanisms used to maintain the availability of the system component inventory are defined." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_2.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_2.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_2.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_2.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_2.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_2.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_2.4" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:edm05.01" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:edm05.02" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:edm05.03" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo01.06" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai10.02" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai10.03" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:snt-04" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.9" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cm-8-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cm-08-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cm-08-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:cm-08-02" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.310-d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cm-08-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cm-08-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cm-08-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:cm-8-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:cm-8-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:cm-8-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:cm-8-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.08.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.10.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.10.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.10.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.4.1e" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.4.3e" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-7" + }, + { + "rel": "part-of", + "href": "#AST-02" + } + ] + }, + { + "id": "AST-02.10", + "title": "Automated Location Tracking", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to track the geographic location of system components." + }, + { + "name": "assessment-objective", + "id": "AST-02.10_AST-02.10_A01", + "prose": "automated mechanisms for tracking components are defined." + }, + { + "name": "assessment-objective", + "id": "AST-02.10_AST-02.10_A02", + "prose": "organization-defined automated mechanisms are used to support the tracking of system components by geographic location." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cm-08-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cm-08-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:cm-8-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:cm-8-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:cm-8-8" + }, + { + "rel": "part-of", + "href": "#AST-02" + } + ] + }, + { + "id": "AST-02.11", + "title": "Component Assignment", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to bind components to a specific system." + }, + { + "name": "assessment-objective", + "id": "AST-02.11_AST-02.11_A01", + "prose": "personnel or roles from which to receive an acknowledgement is/are defined." + }, + { + "name": "assessment-objective", + "id": "AST-02.11_AST-02.11_A02", + "prose": "system components are assigned to a system." + }, + { + "name": "assessment-objective", + "id": "AST-02.11_AST-02.11_A03", + "prose": "an acknowledgement of the component assignment is received from organization-defined personnel or roles." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cm-08-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cm-08-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:cm-8-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:cm-8-9" + }, + { + "rel": "part-of", + "href": "#AST-02" + } + ] + }, + { + "id": "AST-03", + "title": "Asset Ownership Assignment", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "AST-03" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure asset ownership responsibilities are assigned, tracked and managed at a team, individual, or responsible organization level to establish a common understanding of requirements for asset protection." + }, + { + "name": "assessment-objective", + "id": "AST-03_AST-03_A01", + "prose": "name, position and/or role of data ownership is documented." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo01.06" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo01.07" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.9" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_8.1.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_8.1.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.9" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:id.im-p2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-04-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sa-04-12" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.310-d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-04-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:sa-04-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sa-04-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sa-04-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.09.02.a.03" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.am" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_2.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_2.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_2.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.5.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_2.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_2.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_2.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_2.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_6.5.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_2.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_2.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_2.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_2.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_6.5.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_2.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_2.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_2.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_2.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_2.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_2.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.5.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_2.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_2.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_2.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.5.2" + } + ] + }, + { + "id": "AST-03.1", + "title": "Accountability Information", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "AST-03.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to include capturing the name, position and/or role of individuals responsible/accountable for administering assets as part of the technology asset inventory process." + }, + { + "name": "assessment-objective", + "id": "AST-03.1_AST-03.1_A01", + "prose": "individuals responsible and accountable for administering system components are identified by organization-defined criteria in the system component inventory." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:edm05.01" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:edm05.02" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:edm05.03" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo01.06" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.9" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_8.1.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.9" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:id.im-p2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cm-8-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cm-08-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:cm-08-04" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.310-d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cm-08-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cm-08-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:cm-8-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:cm-8-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.09.02.a.03" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.am" + }, + { + "rel": "part-of", + "href": "#AST-03" + } + ] + }, + { + "id": "AST-03.2", + "title": "Provenance", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to track the origin, development, ownership, location and changes to Technology Assets, Applications, Services and/or Data (TAASD)." + }, + { + "name": "assessment-objective", + "id": "AST-03.2_AST-03.2_A01", + "prose": "systems, system components and associated data that require valid provenance are defined." + }, + { + "name": "assessment-objective", + "id": "AST-03.2_AST-03.2_A02", + "prose": "valid provenance is documented for systems, system components and associated data." + }, + { + "name": "assessment-objective", + "id": "AST-03.2_AST-03.2_A03", + "prose": "valid provenance is monitored for systems, system components and associated data." + }, + { + "name": "assessment-objective", + "id": "AST-03.2_AST-03.2_A04", + "prose": "valid provenance is maintained for systems, system components and associated data." + }, + { + "name": "assessment-objective", + "id": "AST-03.2_AST-03.2_A05", + "prose": "supply chain elements, processes and personnel associated with systems and critical system components that require unique identification are defined." + }, + { + "name": "assessment-objective", + "id": "AST-03.2_AST-03.2_A06", + "prose": "unique identification of supply chain elements, processes and personnel is established." + }, + { + "name": "assessment-objective", + "id": "AST-03.2_AST-03.2_A07", + "prose": "unique identification of supply chain elements, processes and personnel is maintained." + }, + { + "name": "assessment-objective", + "id": "AST-03.2_AST-03.2_A08", + "prose": "systems and critical system components that require unique identification for tracking through the supply chain are defined." + }, + { + "name": "assessment-objective", + "id": "AST-03.2_AST-03.2_A09", + "prose": "the unique identification of systems and critical system components is established for tracking through the supply chain." + }, + { + "name": "assessment-objective", + "id": "AST-03.2_AST-03.2_A10", + "prose": "the unique identification of systems and critical system components is maintained for tracking through the supply chain." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_16.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_16.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_16.5" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:dat-03" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.21" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.21" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.7.5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sr-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sr-04-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sr-04-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sr-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sr-04-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sr-04-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sr-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sr-04-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sr-04-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sr-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sr-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sr-4" + }, + { + "rel": "part-of", + "href": "#AST-03" + } + ] + }, + { + "id": "AST-04", + "title": "Network Diagrams & Data Flow Diagrams (DFDs)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "AST-04" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to maintain network architecture diagrams that: \r\n(1) Contain sufficient detail to assess the security of the network's architecture;\r\n(2) Reflect the current architecture of the network environment; and\r\n(3) Document all sensitive/regulated data flows." + }, + { + "name": "assessment-objective", + "id": "AST-04_AST-04_A01", + "prose": "sensitive data flows are identified and documented." + }, + { + "name": "assessment-objective", + "id": "AST-04_AST-04_A02", + "prose": "a Data Flow Diagram (DFD) exists for each type of sensitive / regulated data that is stored, processed and/or transmitted." + }, + { + "name": "assessment-objective", + "id": "AST-04_AST-04_A03", + "prose": "a process exists to review DFDs for accuracy." + }, + { + "name": "assessment-objective", + "id": "AST-04_AST-04_A04", + "prose": "a process exists to update DFDs upon technology or business practice changes that affect where sensitive / regulated data is stored, processed and/or transmitted." + }, + { + "name": "assessment-objective", + "id": "AST-04_AST-04_A05", + "prose": "one or more high-level network diagrams exist as a schematic to identify the logical placement of systems, applications and services at a conceptual level." + }, + { + "name": "assessment-objective", + "id": "AST-04_AST-04_A06", + "prose": "one or more low-level network diagrams exist as a schematic to identify the detailed logical and physical placement of systems, applications and services." + }, + { + "name": "assessment-objective", + "id": "AST-04_AST-04_A07", + "prose": "a process exists to review network diagrams for accuracy." + }, + { + "name": "assessment-objective", + "id": "AST-04_AST-04_A08", + "prose": "a process exists to update network diagrams upon technologies change." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_3.8" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_12.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_3.8" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_12.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_3.8" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_12.4" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo14.08" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_13" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dsp-05" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:i-s-08" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:dat-03" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:cm-1.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.9" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_8.1.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.9" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.20" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:id.im-p7" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:id.im-p8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-37-r2:task-p-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:pl-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sa-5-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sa-5-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sa-5-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sa-5-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pl-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-04-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-04-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pl-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sa-04-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sa-04-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:pl-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:sa-04-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:sa-04-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pl-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-04-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-04-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pl-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pl-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sa-04-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sa-04-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pl-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sa-04-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sa-04-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pl-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:pl-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:pl-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:pl-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.11.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.11.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.1.3e" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-1" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.am-03" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_1.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.2.4" + } + ] + }, + { + "id": "AST-04.1", + "title": "Asset Scope Classification", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "AST-04.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to determine security, compliance and resilience control applicability by identifying, assigning and documenting the appropriate asset scope categorization for all Technology Assets, Applications and/or Services (TAAS) and personnel (internal and third-parties)." + }, + { + "name": "assessment-objective", + "id": "AST-04.1_AST-04.1_A01", + "prose": "system hardware components to be marked indicating the impact level or classification level of the information permitted to be processed, stored, or transmitted by the hardware component are defined." + }, + { + "name": "assessment-objective", + "id": "AST-04.1_AST-04.1_A02", + "prose": "system hardware components are marked indicating the impact level or classification level of the information permitted to be processed, stored, or transmitted by the hardware component." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo14.05" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:log-07" + }, + { + "rel": "mapped-to", + "href": "#iec-tr-60601-4-5-2021:_4.1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sm-3" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_4.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.12" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_8.2.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.12" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_4.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pe-22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pe-22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sa-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:sa-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pe-22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:sa-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pe-22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sa-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pe-22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sa-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sa-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:sa-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sa-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.11.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.11.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.14.3e" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-1" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.am-05" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:a3.2.5" + }, + { + "rel": "part-of", + "href": "#AST-04" + } + ] + }, + { + "id": "AST-04.2", + "title": "Control Applicability Boundary Graphical Representation", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "AST-04.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure control applicability is appropriately-determined for Technology Assets, Applications and/or Services (TAAS) and third parties by graphically representing applicable boundaries." + }, + { + "name": "assessment-objective", + "id": "AST-04.2_AST-04.2_A01", + "prose": "one or more diagrams graphically depict control applicability boundaries for systems, applications, services and third parties to clarify \"in-scope versus out-of-scope\" determinations." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.11.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.11.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.15.02.a.04" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.am-03" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.5.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:a3.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_1.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.5.2.1" + }, + { + "rel": "part-of", + "href": "#AST-04" + } + ] + }, + { + "id": "AST-04.3", + "title": "Compliance-Specific Asset Identification", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "AST-04.3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to create and maintain a current inventory of Technology Assets, Applications, Services and/or Data (TAASD) that are in scope for statutory, regulatory and/or contractual compliance obligations that provides sufficient detail to determine control applicability, based on asset scope categorization." + }, + { + "name": "assessment-objective", + "id": "AST-04.3_AST-04.3_A01", + "prose": "an inventory of systems, applications and services exists for each specific statutory, regulatory and/or contractual compliance obligations that provides sufficient detail to determine control applicability, based on asset scope categorization." + }, + { + "name": "assessment-objective", + "id": "AST-04.3_AST-04.3_A02", + "prose": "inventories of systems, applications and services are kept current for each specific statutory, regulatory and/or contractual compliance obligations that provides sufficient detail to determine control applicability, based on asset scope categorization." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.03" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.5.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:a3.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_6.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.5.2.1" + }, + { + "rel": "part-of", + "href": "#AST-04" + } + ] + }, + { + "id": "AST-05", + "title": "Security of Assets & Media", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "AST-05" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to maintain strict control over the internal or external distribution of any kind of sensitive/regulated media." + }, + { + "name": "assessment-objective", + "id": "AST-05_AST-05_A01", + "prose": "strict control is maintained over the internal or external distribution of any kind of sensitive / regulated media." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dcs-03" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_7.9" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_11.2.6" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_7.9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:nfo-mp-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.07.04.a" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.4.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_9.4.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_9.4.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_9.4.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_9.4.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_9.4.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_9.4.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.4.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.4.4" + } + ] + }, + { + "id": "AST-05.1", + "title": "Management Approval For External Media Transfer", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to obtain management approval for any sensitive/regulated media that is transferred outside of the organization's facilities." + }, + { + "name": "assessment-objective", + "id": "AST-05.1_AST-05.1_A01", + "prose": "written management approval is obtained prior to the transfer of any sensitive / regulated media outside of the organization's facilities." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dcs-03" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.4.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_9.4.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_9.4.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_9.4.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_9.4.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_9.4.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_9.4.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.4.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.4.4" + }, + { + "rel": "part-of", + "href": "#AST-05" + } + ] + }, + { + "id": "AST-06", + "title": "Unattended End-User Equipment", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to implement enhanced protection measures for unattended technology assets to protect against tampering and unauthorized access." + }, + { + "name": "assessment-objective", + "id": "AST-06_AST-06_A01", + "prose": "enhanced protection measures for unattended systems are implemented to protect against tampering and unauthorized access." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-05-12" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_7.7" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_7.9" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_11.2.6" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_11.2.8" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_11.2.9" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_7.7" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_7.9" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_9.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_9.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_9.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-p2pe:_9.5.1" + } + ] + }, + { + "id": "AST-06.1", + "title": "Asset Storage In Automobiles", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to educate users on the need to physically secure laptops and other mobile devices out of sight when traveling, preferably in the trunk of a vehicle." + }, + { + "name": "assessment-objective", + "id": "AST-06.1_AST-06.1_A01", + "prose": "users are educated on the need to physically secure laptops and other mobile devices out of site when traveling, preferably in the trunk of a vehicle." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#AST-06" + } + ] + }, + { + "id": "AST-07", + "title": "Kiosks & Point of Interaction (PoI) Devices", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to appropriately protect devices that capture sensitive/regulated data via direct physical interaction from tampering and substitution." + }, + { + "name": "assessment-objective", + "id": "AST-07_AST-07_A01", + "prose": "devices that capture sensitive / regulated data via direct physical interaction are appropriately protected from tampering and substitution." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:phy-01" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.5.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.5.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_9.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_9.5.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_9.5.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_9.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_9.5.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_9.5.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_9.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_9.5.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_9.5.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.5.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.5.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.5.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.5.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-p2pe:_9.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-p2pe:_9.5.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-p2pe:_9.5.1.2" + } + ] + }, + { + "id": "AST-08", + "title": "Physical Tampering Detection", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to periodically inspect systems and system components for Indicators of Compromise (IoC)." + }, + { + "name": "assessment-objective", + "id": "AST-08_AST-08_A01", + "prose": "mobile devices are inspected for evidence of tampering upon return from geographic regions of concern or other known hostile environments that could lead to device compromise." + }, + { + "name": "assessment-objective", + "id": "AST-08_AST-08_A02", + "prose": "mobile devices that show signs of tampering are confiscated for forensic examination." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:phy-01" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-3.11" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:edr-3.11" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:hdr-3.11" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:ndr-3.11" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_7.9" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_11.2.6" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_7.9" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.5.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.5.1.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_9.5.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_9.5.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_9.5.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.5.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.5.1.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.5.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.5.1.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-p2pe:_9.5.1.2" + } + ] + }, + { + "id": "AST-09", + "title": "Secure Disposal, Destruction or Re-Use of Equipment", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "AST-09" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to securely dispose of, destroy or repurpose system components using organization-defined techniques and methods to prevent information being recovered from these components." + }, + { + "name": "assessment-objective", + "id": "AST-09_AST-09_A01", + "prose": "data, documentation, tools or system components to be disposed of are defined." + }, + { + "name": "assessment-objective", + "id": "AST-09_AST-09_A02", + "prose": "techniques and methods for disposing of data, documentation, tools or system components are defined." + }, + { + "name": "assessment-objective", + "id": "AST-09_AST-09_A03", + "prose": "data, documentation, tools or system components are disposed of using techniques and methods." + }, + { + "name": "assessment-objective", + "id": "AST-09_AST-09_A04", + "prose": "system media is sanitized using sanitization techniques and procedures prior to disposal." + }, + { + "name": "assessment-objective", + "id": "AST-09_AST-09_A05", + "prose": "system media is sanitized using sanitization techniques and procedures prior to release from organizational control." + }, + { + "name": "assessment-objective", + "id": "AST-09_AST-09_A06", + "prose": "system media is sanitized using sanitization techniques and procedures prior to release for reuse." + }, + { + "name": "assessment-objective", + "id": "AST-09_AST-09_A07", + "prose": "sanitization mechanisms with strength and integrity commensurate with the security category or classification of the information are employed." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_3.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_3.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_3.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_3.5" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dcs-02" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dsp-02" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:pol-04" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_7.14" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_11.2.7" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_7.14" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_7.14-a" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.10" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-1.7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-37-r2:task-m-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sa-19-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sr-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sr-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:sr-12" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.310-d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sr-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:sr-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sr-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sr-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sr-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:sr-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sr-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sr-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.8.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.07.04.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.08.03" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.4.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.4.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.4.7" + } + ] + }, + { + "id": "AST-10", + "title": "Return of Assets", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "AST-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure that employees and third-party users return all organizational assets in their possession upon termination of employment, contract or agreement." + }, + { + "name": "assessment-objective", + "id": "AST-10_AST-10_A01", + "prose": "the organization governs a process to ensure that employees return all organizational assets in their possession upon termination of employment." + }, + { + "name": "assessment-objective", + "id": "AST-10_AST-10_A02", + "prose": "the organization governs a process to ensure that third-party users return all organizational assets in their possession upon termination of contract or agreement." + }, + { + "name": "assessment-objective", + "id": "AST-10_AST-10_A03", + "prose": "upon termination of individual employment, security-related system property is retrieved." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:hrs-05" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.11" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_8.1.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_8.1.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.09.02.a.03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.09.02.a.03" + } + ] + }, + { + "id": "AST-11", + "title": "Removal of Assets", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to authorize, control and track technology assets entering and exiting organizational facilities." + }, + { + "name": "assessment-objective", + "id": "AST-11_AST-11_A01", + "prose": "facility egress points are controlled by physical security measures." + }, + { + "name": "assessment-objective", + "id": "AST-11_AST-11_A02", + "prose": "prior management authorization is required for the removal of technology assets from organizational facilities." + }, + { + "name": "assessment-objective", + "id": "AST-11_AST-11_A03", + "prose": "the organization controls and tracks technology assets entering and exiting organizational facilities." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_7.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_11.2.5" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_7.10" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.310-d" + } + ] + }, + { + "id": "AST-12", + "title": "Use of Personal Devices", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "AST-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to restrict the possession and/or use of personally-owned Technology Assets, Applications and/or Services (TAAS) within organization-controlled facilities." + }, + { + "name": "assessment-objective", + "id": "AST-12_AST-12_A01", + "prose": "the possession of personally-owned technology devices is restricted within organization-controlled facilities." + }, + { + "name": "assessment-objective", + "id": "AST-12_AST-12_A02", + "prose": "the usage of personally-owned technology devices is restricted within organization-controlled facilities." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_7.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_7.10" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.18.a" + } + ] + }, + { + "id": "AST-13", + "title": "Use of Third-Party Devices", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "AST-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to reduce the risk associated with third-party assets that are attached to the network from harming organizational assets or exfiltrating organizational data." + }, + { + "name": "assessment-objective", + "id": "AST-13_AST-13_A01", + "prose": "technology configurations prohibit third-party technology assets from connecting to the organization's internal network(s)." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.18.a" + } + ] + }, + { + "id": "AST-14", + "title": "Usage Parameters", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "AST-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to monitor and enforce usage parameters that limit the potential damage caused from the unauthorized or unintentional alteration of system parameters." + }, + { + "name": "assessment-objective", + "id": "AST-14_AST-14_A01", + "prose": "the components for which usage restrictions and implementation guidance are to be established are defined." + }, + { + "name": "assessment-objective", + "id": "AST-14_AST-14_A02", + "prose": "usage restrictions and implementation guidelines are established for components." + }, + { + "name": "assessment-objective", + "id": "AST-14_AST-14_A03", + "prose": "the use of components is authorized within the system." + }, + { + "name": "assessment-objective", + "id": "AST-14_AST-14_A04", + "prose": "the use of components is monitored within the system." + }, + { + "name": "assessment-objective", + "id": "AST-14_AST-14_A05", + "prose": "the use of components is controlled within the system." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-43" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-43" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-43" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.18.a" + } + ] + }, + { + "id": "AST-14.1", + "title": "Bluetooth & Wireless Devices", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to prevent the usage of Bluetooth and wireless devices (e.g., Near Field Communications (NFC)) in sensitive areas or unless used in a Radio Frequency (RF)-screened building." + }, + { + "name": "assessment-objective", + "id": "AST-14.1_AST-14.1_A01", + "prose": "the possession of unauthorized Bluetooth and wireless devices (e.g., Near Field Communications (NFC)) is prohibited in sensitive areas." + }, + { + "name": "assessment-objective", + "id": "AST-14.1_AST-14.1_A02", + "prose": "the usage of Bluetooth and wireless devices (e.g., Near Field Communications (NFC)) is prohibited in sensitive areas, unless use is in a Radio Frequency (RF)-screened building." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:sws-01" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:sws-03" + }, + { + "rel": "part-of", + "href": "#AST-14" + } + ] + }, + { + "id": "AST-14.2", + "title": "Infrared Communications", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to prevent line of sight and reflected infrared (IR) communications use in an unsecured space." + }, + { + "name": "assessment-objective", + "id": "AST-14.2_AST-14.2_A01", + "prose": "the possession of unauthorized Infrared (IR) communications devices is prohibited in sensitive areas." + }, + { + "name": "assessment-objective", + "id": "AST-14.2_AST-14.2_A02", + "prose": "Infrared (IR) communications are configured to prevent line of sight and reflected use in unsecured spaces." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#AST-14" + } + ] + }, + { + "id": "AST-15", + "title": "Logical Tampering Protection", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "AST-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to assess the integrity of critical Technology Assets, Applications and/or Services (TAAS) to detect evidence of tampering, where:\r\n(1)\tLogical assessments evaluate the integrity of critical components (e.g., configuration settings); and\r\n(2)\tPhysical assessments evaluate assets for evidence of unauthorized access and/or modifications." + }, + { + "name": "assessment-objective", + "id": "AST-15_AST-15_A01", + "prose": "a tamper protection program is implemented for the system, system component or system service." + }, + { + "name": "assessment-objective", + "id": "AST-15_AST-15_A02", + "prose": "anti-tamper technologies, tools and techniques are employed throughout the system development life cycle." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:iot-05" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_7.9" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_11.2.6" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_7.9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sa-18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sr-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sr-09-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:sr-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:sr-09-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sr-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sr-09-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sr-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sr-09-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sr-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sr-09-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sr-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sr-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sr-9" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.ra-09" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_9.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_9.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_9.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-p2pe:_9.5.1" + } + ] + }, + { + "id": "AST-15.1", + "title": "Technology Asset Inspections", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "AST-15.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to physically and logically inspect critical technology assets to detect evidence of tampering." + }, + { + "name": "assessment-objective", + "id": "AST-15.1_AST-15.1_A01", + "prose": "systems or system components that require inspection are defined." + }, + { + "name": "assessment-objective", + "id": "AST-15.1_AST-15.1_A02", + "prose": "the frequency at which to inspect systems or system components is defined." + }, + { + "name": "assessment-objective", + "id": "AST-15.1_AST-15.1_A03", + "prose": "indications of the need for an inspection of systems or system components are defined." + }, + { + "name": "assessment-objective", + "id": "AST-15.1_AST-15.1_A04", + "prose": "systems or system components are inspected to detect tampering." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sa-18-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sr-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sr-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:sr-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sr-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:sr-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sr-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sr-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sr-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sr-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:sr-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:sr-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sr-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sr-10" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.5.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_9.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_9.5.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_9.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_9.5.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_9.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_9.5.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.5.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.5.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-p2pe:_9.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-p2pe:_9.5.1.2" + }, + { + "rel": "part-of", + "href": "#AST-15" + } + ] + }, + { + "id": "AST-16", + "title": "Bring Your Own Device (BYOD) Usage", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "AST-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to implement and govern a Bring Your Own Device (BYOD) program to reduce risk associated with personally-owned devices in the workplace." + }, + { + "name": "assessment-objective", + "id": "AST-16_AST-16_A01", + "prose": "a Bring Your Own Device (BYOD) program is implemented and governed to reduce risk associated with personally-owned devices in the workplace." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_4.11" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_4.11" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_4.11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.18.a" + } + ] + }, + { + "id": "AST-17", + "title": "Prohibited Equipment & Services", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "AST-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to govern Supply Chain Risk Management (SCRM) sanctions that require the removal and prohibition of certain Technology Assets, Applications and/or Services (TAAS) that are designated as supply chain threats by a statutory or regulatory body." + }, + { + "name": "assessment-objective", + "id": "AST-17_AST-17_A01", + "prose": "Supply Chain Risk Management (SCRM) practices require the removal and prohibition of certain technology services and/or equipment that are designated as supply chain threats by a statutory or regulatory body." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.11.01.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.16.01" + } + ] + }, + { + "id": "AST-18", + "title": "Roots of Trust Protection", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "AST-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to provision and protect the confidentiality, integrity and authenticity of product supplier keys and data that can be used as a “roots of trust” basis for integrity verification." + }, + { + "name": "assessment-objective", + "id": "AST-18_AST-18_A01", + "prose": "security-critical or essential software is defined." + }, + { + "name": "assessment-objective", + "id": "AST-18_AST-18_A02", + "prose": "root of trust mechanisms or cryptographic signatures are identified." + }, + { + "name": "assessment-objective", + "id": "AST-18_AST-18_A03", + "prose": "the integrity of security critical or essential software is verified using root of trust mechanisms or cryptographic signatures." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:iot-09" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:edr-3.12" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:edr-3.13-a" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:edr-3.13-b" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:hdr-3.12" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:hdr-3.13-a" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:ndr-3.12" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:ndr-3.13-a" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:ndr-3.13-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.14.1e" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.ra-09" + } + ] + }, + { + "id": "AST-19", + "title": "Telecommunications Equipment", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to establish usage restrictions and implementation guidance for telecommunication equipment to prevent potential damage or unauthorized modification and to prevent potential eavesdropping." + }, + { + "name": "assessment-objective", + "id": "AST-19_AST-19_A01", + "prose": "implementation guidance for telecommunication equipment is established to prevent damage, unauthorized modification and potential eavesdropping." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + } + ] + }, + { + "id": "AST-20", + "title": "Video Teleconference (VTC) Security", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to implement secure Video Teleconference (VTC) capabilities on endpoint devices and in designated conference rooms, to prevent potential eavesdropping." + }, + { + "name": "assessment-objective", + "id": "AST-20_AST-20_A01", + "prose": "Video Teleconference (VTC) capabilities are secured in designated conference rooms to prevent potential eavesdropping." + }, + { + "name": "assessment-objective", + "id": "AST-20_AST-20_A02", + "prose": "personnel are trained to use Video Teleconference (VTC) capabilities on endpoint devices outside of conference rooms in a secure manner that prevents eavesdropping." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + } + ] + }, + { + "id": "AST-21", + "title": "Voice Over Internet Protocol (VoIP) Security", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to implement secure Internet Protocol Telephony (IPT) that logically or physically separates Voice Over Internet Protocol (VoIP) traffic from data networks." + }, + { + "name": "assessment-objective", + "id": "AST-21_AST-21_A01", + "prose": "Internet Protocol Telephony (IPT) is securely implemented that logically or physically separates Voice Over Internet Protocol (VoIP) traffic from data networks." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + } + ] + }, + { + "id": "AST-22", + "title": "Microphones & Web Cameras", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to configure assets to prohibit the use of endpoint-based microphones and web cameras in secure areas or where sensitive/regulated information is discussed." + }, + { + "name": "assessment-objective", + "id": "AST-22_AST-22_A01", + "prose": "assets are configured to prohibit the use of endpoint-based microphones and/or web cameras in secure areas or where sensitive information is discussed." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + } + ] + }, + { + "id": "AST-23", + "title": "Multi-Function Devices (MFD)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to securely configure Multi-Function Devices (MFD) according to industry-recognized secure practices for the type of device." + }, + { + "name": "assessment-objective", + "id": "AST-23_AST-23_A01", + "prose": "Multi-Function Devices (MFD) are securely configured according to industry-recognized secure practices for the type of device." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + } + ] + }, + { + "id": "AST-24", + "title": "Travel-Only Devices", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "AST-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to issue personnel travelling overseas with temporary, loaner or \"travel-only\" end user technology (e.g., laptops and mobile devices) when travelling to authoritarian countries with a higher-than average risk for Intellectual Property (IP) theft or espionage against individuals and private companies." + }, + { + "name": "assessment-objective", + "id": "AST-24_AST-24_A01", + "prose": "the organization maintains a pool of temporary, loaner or \"travel-only\" end user technology (e.g., laptops and mobile devices)." + }, + { + "name": "assessment-objective", + "id": "AST-24_AST-24_A02", + "prose": "personnel travelling overseas request and are issued a temporary, loaner or \"travel-only\" end user technology (e.g., laptops and mobile devices) when travelling to authoritarian countries with a higher-than average risk for Intellectual Property (IP) theft or espionage against individuals and private companies." + }, + { + "name": "assessment-objective", + "id": "AST-24_AST-24_A03", + "prose": "systems or system components with organization-defined configurations are issued to individuals traveling to high-risk locations." + }, + { + "name": "assessment-objective", + "id": "AST-24_AST-24_A04", + "prose": "systems or system components with the following configurations are issued to individuals traveling to high-risk locations: ." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.12.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.12.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.04.12.a" + } + ] + }, + { + "id": "AST-25", + "title": "Re-Imaging Devices After Travel", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "AST-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to re-image end user technology (e.g., laptops and mobile devices) when returning from overseas travel to an authoritarian country with a higher-than average risk for Intellectual Property (IP) theft or espionage against individuals and private companies." + }, + { + "name": "assessment-objective", + "id": "AST-25_AST-25_A01", + "prose": "upon return from travel to authoritarian counties, the issued temporary, loaner or \"travel-only\" end user technology (e.g., laptops and mobile devices) is wiped / re-imaged before being re-issued." + }, + { + "name": "assessment-objective", + "id": "AST-25_AST-25_A02", + "prose": "organization-defined security requirements are applied to the system or system components when the individuals return from travel." + }, + { + "name": "assessment-objective", + "id": "AST-25_AST-25_A03", + "prose": "the following security requirements are applied to the system or system components when the individuals return from travel: ." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.12.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.04.12.b" + } + ] + }, + { + "id": "AST-26", + "title": "System Administrative Processes", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to develop, implement and govern system administration processes, with corresponding Standardized Operating Procedures (SOP), for operating and maintaining Technology Assets, Applications and/or Services (TAAS)." + }, + { + "name": "assessment-objective", + "id": "AST-26_AST-26_A01", + "prose": "system administration processes, with corresponding Standardized Operating Procedures (SOP), are developed, implemented and governed for operating and maintaining systems, applications and services." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + } + ] + }, + { + "id": "AST-27", + "title": "Jump Server", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "AST-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to conduct remote system administrative functions via a \"jump box\" or \"jump server\" that is located in a separate network zone to user workstations." + }, + { + "name": "assessment-objective", + "id": "AST-27_AST-27_A01", + "prose": "a \"jump box\" or \"jump server\" is established in secure enclaves that are in a separate network zone to user workstations." + }, + { + "name": "assessment-objective", + "id": "AST-27_AST-27_A02", + "prose": "non-console system administrative functions are restricted to connect to secure enclaves via a \"jump box\" or \"jump server\" that is located in a separate network zone to user workstations." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.12.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.12.c" + } + ] + }, + { + "id": "AST-28", + "title": "Database Administrative Processes", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to develop, implement and govern database management processes, with corresponding Standardized Operating Procedures (SOP), for operating and maintaining databases." + }, + { + "name": "assessment-objective", + "id": "AST-28_AST-28_A01", + "prose": "database management processes, with corresponding Standardized Operating Procedures (SOP), are developed, implemented and governed for operating and maintaining databases." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + } + ] + }, + { + "id": "AST-28.1", + "title": "Database Management System (DBMS)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to implement and maintain Database Management Systems (DBMSs), where applicable." + }, + { + "name": "assessment-objective", + "id": "AST-28.1_AST-28.1_A01", + "prose": "Database Management Systems (DBMSs) are implemented and maintained." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#AST-28" + } + ] + }, + { + "id": "AST-29", + "title": "Radio Frequency Identification (RFID) Security", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to securely govern Radio Frequency Identification (RFID) deployments to ensure RFID is used safely and securely to protect the confidentiality and integrity of data and prevent the compromise of secure spaces." + }, + { + "name": "assessment-objective", + "id": "AST-29_AST-29_A01", + "prose": "secure baseline configurations exist for Radio Frequency Identification (RFID) devices to protect the confidentiality and integrity of data being stored, processed and/or transmitted." + }, + { + "name": "assessment-objective", + "id": "AST-29_AST-29_A02", + "prose": "Radio Frequency Identification (RFID) devices are secured according to defined secure baseline configurations." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + } + ] + }, + { + "id": "AST-29.1", + "title": "Contactless Access Control Systems", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to securely configure contactless access control systems incorporating contactless RFID or smart cards to protect the confidentiality and integrity of data and prevent the compromise of secure spaces." + }, + { + "name": "assessment-objective", + "id": "AST-29.1_AST-29.1_A01", + "prose": "secure baseline configurations exist for contactless access control systems to protect the confidentiality and integrity of data being stored, processed and/or transmitted." + }, + { + "name": "assessment-objective", + "id": "AST-29.1_AST-29.1_A02", + "prose": "contactless access control systems that are secured according to defined secure baseline configurations." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#AST-29" + } + ] + }, + { + "id": "AST-30", + "title": "Decommissioning", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure Technology Assets, Applications and/or Services (TAAS) are properly decommissioned so that data is properly transitioned to new systems or archived in accordance with applicable organizational standards, as well as statutory, regulatory and contractual obligations." + }, + { + "name": "assessment-objective", + "id": "AST-30_AST-30_A01", + "prose": "systems, applications and services are properly decommissioned so that data is properly transitioned to new systems or archived in accordance with applicable organizational standards, as well as statutory, regulatory and contractual obligations." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-1.7" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:govern-1.7" + } + ] + }, + { + "id": "AST-31", + "title": "Asset Categorization", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "AST-31" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to categorize Technology Assets, Applications and/or Services (TAAS)." + }, + { + "name": "assessment-objective", + "id": "AST-31_AST-31_A01", + "prose": "the organization utilizes a defined methodology to categorize its technology assets based on data sensitivity and criticality." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:map-2.0" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.03" + } + ] + }, + { + "id": "AST-31.1", + "title": "Categorize Artificial Intelligence (AI)-Related Technologies", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to categorize Artificial Intelligence (AI) and Autonomous Technologies (AAT)." + }, + { + "name": "assessment-objective", + "id": "AST-31.1_AST-31.1_A01", + "prose": "the organization utilizes a defined methodology to categorize Artificial Intelligence (AI) and Autonomous Technologies (AAT) based on data sensitivity and criticality." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:map-2.0" + }, + { + "rel": "part-of", + "href": "#AST-31" + } + ] + }, + { + "id": "AST-31.2", + "title": "High-Risk Asset Categorization", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to categorize a system and/or service as \"High Risk\" if it poses a significant risk of harm to an individual's:\r\n(1) Health;\r\n(2) Safety; and/or \r\n(3) Fundamental human rights." + }, + { + "name": "assessment-objective", + "id": "AST-31.2_AST-31.2_A01", + "prose": "a system and/or service is categorized as \"High Risk\" if it poses a significant risk of harm to an individual's health." + }, + { + "name": "assessment-objective", + "id": "AST-31.2_AST-31.2_A02", + "prose": "a system and/or service is categorized as \"High Risk\" if it poses a significant risk of harm to an individual's safety." + }, + { + "name": "assessment-objective", + "id": "AST-31.2_AST-31.2_A03", + "prose": "a system and/or service is categorized as \"High Risk\" if it poses a significant risk of harm to an individual's fundamental human rights." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:i-s-08" + }, + { + "rel": "part-of", + "href": "#AST-31" + } + ] + }, + { + "id": "AST-31.3", + "title": "Asset Attributes", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to dynamically associate asset-specific attributes to enable Attribute-Based Access Control (ABAC)." + }, + { + "name": "assessment-objective", + "id": "AST-31.3_AST-31.3_A01", + "prose": "a capability exists to dynamically associate asset-specific attributes to enable Attribute-Based Access Control (ABAC)." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#AST-31" + } + ] + }, + { + "id": "AST-32", + "title": "Automated Network Asset Discovery", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to automate network asset discovery through Software Defined Networking (SDN), or similar technologies, that analyzes network traffic to:\r\n(1) Identify;\r\n(2) Document; and \r\n(3) Track devices." + }, + { + "name": "assessment-objective", + "id": "AST-32_AST-32_A01", + "prose": "Software Defined Networking (SDN), or similar technologies, analyzes network traffic to identify devices." + }, + { + "name": "assessment-objective", + "id": "AST-32_AST-32_A02", + "prose": "Software Defined Networking (SDN), or similar technologies, analyzes network traffic to document devices." + }, + { + "name": "assessment-objective", + "id": "AST-32_AST-32_A03", + "prose": "Software Defined Networking (SDN), or similar technologies, analyzes network traffic to track devices." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + } + ] + } + ] + }, + { + "id": "business-continuity-disaster-recovery", + "title": "Business Continuity & Disaster Recovery", + "controls": [ + { + "id": "BCD-01", + "title": "Business Continuity Management System (BCMS)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "BCD-01" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management.1", + "value": "3.5.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management.2", + "value": "3.5.3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management.3", + "value": "3.5.5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management.4", + "value": "3.5.6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management.5", + "value": "3.5.6.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.33", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.34", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.35", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.36", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.37", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.38", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.39", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.40", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to facilitate the implementation of contingency planning controls to help ensure resilient Technology Assets, Applications and/or Services (TAAS) (e.g., Continuity of Operations Plan (COOP) or Business Continuity & Disaster Recovery (BC/DR) playbooks)." + }, + { + "name": "assessment-objective", + "id": "BCD-01_BCD-01_A01", + "prose": "cybersecurity issues are addressed in the development of a critical infrastructure and key resources protection plan." + }, + { + "name": "assessment-objective", + "id": "BCD-01_BCD-01_A02", + "prose": "privacy issues are addressed in the development of a critical infrastructure and key resources protection plan." + }, + { + "name": "assessment-objective", + "id": "BCD-01_BCD-01_A03", + "prose": "cybersecurity issues are addressed in the documentation of a critical infrastructure and key resources protection plan." + }, + { + "name": "assessment-objective", + "id": "BCD-01_BCD-01_A04", + "prose": "privacy issues are addressed in the documentation of a critical infrastructure and key resources protection plan." + }, + { + "name": "assessment-objective", + "id": "BCD-01_BCD-01_A05", + "prose": "cybersecurity issues are addressed in the update of a critical infrastructure and key resources protection plan." + }, + { + "name": "assessment-objective", + "id": "BCD-01_BCD-01_A06", + "prose": "privacy issues are addressed in the update of a critical infrastructure and key resources protection plan." + }, + { + "name": "assessment-objective", + "id": "BCD-01_BCD-01_A07", + "prose": "Business Continuity & Disaster Recovery (BC/DR) operations are conducted according to documented policies, standards, procedures and/or other organizational directives." + }, + { + "name": "assessment-objective", + "id": "BCD-01_BCD-01_A08", + "prose": "adequate resources (e.g., people, processes, technologies, data and/or facilities) are provided to support Business Continuity & Disaster Recovery (BC/DR) operations." + }, + { + "name": "assessment-objective", + "id": "BCD-01_BCD-01_A09", + "prose": "responsibility and authority for the performance of Business Continuity & Disaster Recovery (BC/DR)-related activities are assigned to designated personnel." + }, + { + "name": "assessment-objective", + "id": "BCD-01_BCD-01_A10", + "prose": "personnel performing Business Continuity & Disaster Recovery (BC/DR)-related activities have the skills and knowledge needed to perform their assigned duties." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_11.0" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_11.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_11.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_11.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_11.1" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo14.10" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss04.01" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss04.02" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss04.03" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss04.07" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:bcr-01" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:bcr-02" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:bcr-03" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:bcr-05" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:bcr-09" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:gvn-03" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:avail-1.1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-2.10-a" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_4.4" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_6.1.1" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_6.1.1-a" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_6.1.1-b" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_6.1.1-c" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_6.1.2" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_6.1.2-a" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_6.1.2-b" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_6.1.2-b-1" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_6.1.2-b-2" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_6.2.1" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_6.2.1-a" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_6.2.1-b" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_6.2.1-c" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_6.2.1-d" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_6.2.1-e" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_6.2.1-f" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_6.2.2" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_6.2.2-a" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_6.2.2-b" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_6.2.2-c" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_6.2.2-d" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_6.2.2-e" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_7.4" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_7.5.1" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_7.5.1-a" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_7.5.1-b" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_7.5.2" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_7.5.2-a" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_7.5.2-b" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_7.5.2-c" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.3.1" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.3.2" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.3.2-a" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.3.2-b" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.3.2-c" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.3.2-d" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.3.2-e" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.3.2-f" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.3.3" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.3.3-a" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.3.3-b" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.3.3-c" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.3.5" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.4.1" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.4.1-a" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.4.1-b" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.4.1-c" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.4.1-d" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.4.1-e" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.4.3" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.4.3.1" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.4.3.1-a" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.4.3.1-b" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.4.3.1-c" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.4.3.1-d" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.4.3.1-e" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.4.3.1-f" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.4.3.2" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.4.3.2-a" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.4.3.2-b" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.4.4.1" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.4.4.2" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.4.4.2-a" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.4.4.2-a-1" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.4.4.2-a-2" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.4.4.2-b" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.4.4.2-c" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.4.4.2-d" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.4.4.2-d-1" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.4.4.2-d-2" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.4.4.2-d-3" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.4.4.3" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.4.4.3-a" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.4.4.3-b" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.4.4.3-c" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.4.4.3-d" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.4.4.3-e" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.4.4.3-f" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.4.4.3-g" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.4.4.3-h" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.29" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_17.1.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_17.1.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.29" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.30" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.13-a" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-6.2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mg-2.3-001" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:pr.po-p7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cp-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cp-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ir-4-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:pm-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cp-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cp-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cp-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ir-04-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pm-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:cp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:cp-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:cp-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ir-04-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pm-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:cp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:cp-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:cp-10" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.308-a-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cp-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cp-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ir-04-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pm-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:cp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:cp-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:cp-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pm-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:cp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:cp-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:cp-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pm-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cp-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cp-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pm-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:ir-04-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:cp-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:cp-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pm-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:cp-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:cp-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:cp-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:pm-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:cp-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:cp-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:cp-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:cp-2" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-08" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.im-04" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ir-02" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ir-03" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:rs.ma-05" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:rc" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:rc.rp" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:rc.rp-02" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:rc.rp-04" + } + ] + }, + { + "id": "BCD-01.1", + "title": "Coordinate with Related Plans", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "BCD-01.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to coordinate contingency plan development with internal and external elements responsible for related plans." + }, + { + "name": "assessment-objective", + "id": "BCD-01.1_BCD-01.1_A01", + "prose": "contingency plan development is coordinated with organizational elements responsible for related plans." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:recover" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:bcr-06" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.29" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.29" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.30" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cp-2-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cp-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:cp-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cp-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:cp-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cp-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:cp-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:cp-2-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:cp-2-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:cp-2-1" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:rc.co" + }, + { + "rel": "part-of", + "href": "#BCD-01" + } + ] + }, + { + "id": "BCD-01.2", + "title": "Coordinate With External Service Providers", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "BCD-01.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to coordinate internal contingency plans with the contingency plans of external service providers to ensure that contingency requirements can be satisfied." + }, + { + "name": "assessment-objective", + "id": "BCD-01.2_BCD-01.2_A01", + "prose": "the contingency plan is coordinated with the contingency plans of external service providers to ensure that contingency requirements can be satisfied." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:recover" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:bcr-06" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:opa-05" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.29" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.29" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.30" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cp-2-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cp-02-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cp-02-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:cp-2-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:cp-2-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:cp-2-7" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-08" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:rc.co" + }, + { + "rel": "part-of", + "href": "#BCD-01" + } + ] + }, + { + "id": "BCD-01.3", + "title": "Transfer to Alternate Processing / Storage Site", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to redeploy personnel to other roles during a disruptive event or in the execution of a continuity plan." + }, + { + "name": "assessment-objective", + "id": "BCD-01.3_BCD-01.3_A01", + "prose": "the transfer of organization-defined criteria mission and business functions to alternate processing and/or storage sites with minimal or no loss of operational continuity is planned for." + }, + { + "name": "assessment-objective", + "id": "BCD-01.3_BCD-01.3_A02", + "prose": "operational continuity is sustained until full system restoration at primary processing and/or storage sites." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:recover" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cp-2-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cp-02-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cp-02-06" + }, + { + "rel": "part-of", + "href": "#BCD-01" + } + ] + }, + { + "id": "BCD-01.4", + "title": "Recovery Time / Point Objectives (RTO / RPO)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "BCD-01.4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management", + "value": "3.5.6.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to facilitate recovery operations in accordance with Recovery Time Objectives (RTOs) and Recovery Point Objectives (RPOs)." + }, + { + "name": "assessment-objective", + "id": "BCD-01.4_BCD-01.4_A01", + "prose": "time period consistent with Recovery Time Objectives (RTOs) and Recovery Point Objectives (RPOs) for the recovery of the system is determined." + }, + { + "name": "assessment-objective", + "id": "BCD-01.4_BCD-01.4_A02", + "prose": "the alternate storage site is configured to facilitate recovery operations in accordance with Recovery Time Objectives (RTOs) and Recovery Point Objectives (RPOs)." + }, + { + "name": "assessment-objective", + "id": "BCD-01.4_BCD-01.4_A03", + "prose": "time period consistent with Recovery Time Objectives (RTOs) and Recovery Point Objectives (RPOs) for the reconstitution of the system is determined." + }, + { + "name": "assessment-objective", + "id": "BCD-01.4_BCD-01.4_A04", + "prose": "the recovery of the system to a known state is provided within a specified time period after a disruption, compromise or failure." + }, + { + "name": "assessment-objective", + "id": "BCD-01.4_BCD-01.4_A05", + "prose": "a reconstitution of the system to a known state is provided within an organization-defined time period after a disruption, compromise or failure." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:recover" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:bcr-03" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.4.5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cp-6-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cp-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cp-06-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cp-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:cp-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:cp-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:cp-06-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cp-06-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cp-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:cp-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:cp-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cp-06-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cp-10" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:rc.rp" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:rc.rp-02" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:rc.rp-04" + }, + { + "rel": "part-of", + "href": "#BCD-01" + } + ] + }, + { + "id": "BCD-01.5", + "title": "Recovery Operations Criteria", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "BCD-01.5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to define specific criteria that must be met to initiate Business Continuity / Disaster Recover (BC/DR) plans that facilitate business continuity operations capable of meeting applicable Recovery Time Objectives (RTOs) and Recovery Point Objectives (RPOs)." + }, + { + "name": "assessment-objective", + "id": "BCD-01.5_BCD-01.5_A01", + "prose": "criteria that must be met to initiate Business Continuity / Disaster Recovery (BC/DR) plans that facilitate business continuity operations capable of meeting applicable Recovery Time Objectives (RTOs) and Recovery Point Objectives (RPOs) is defined." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:bcr-03" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:rs.ma-05" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:rc.rp-01" + }, + { + "rel": "part-of", + "href": "#BCD-01" + } + ] + }, + { + "id": "BCD-01.6", + "title": "Recovery Operations Communications", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "BCD-01.6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to communicate the status of recovery activities and progress in restoring operational capabilities to designated internal and external stakeholders." + }, + { + "name": "assessment-objective", + "id": "BCD-01.6_BCD-01.6_A01", + "prose": "internal and external stakeholders requiring notification of recovery activities and progress in restoring operational capabilities are identified." + }, + { + "name": "assessment-objective", + "id": "BCD-01.6_BCD-01.6_A02", + "prose": "based on the type of incident, methods to contact internal and external stakeholders requiring notification of recovery activities and progress in restoring operational capabilities are identified." + }, + { + "name": "assessment-objective", + "id": "BCD-01.6_BCD-01.6_A03", + "prose": "processes exist to communicate the status of recovery activities and progress in restoring operational capabilities to designated internal and external stakeholders." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:bcr-07" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:rc.co-03" + }, + { + "rel": "part-of", + "href": "#BCD-01" + } + ] + }, + { + "id": "BCD-01.7", + "title": "Business Continuity & Disaster Recovery (BC/DR) Plans", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist for process owners to establish and maintain formal Business Continuity & Disaster Recovery (BC/DR) plans to ensure information is detailed enough, accurate and representative of current operations in order to sustain and/or restore operations under adverse conditions." + }, + { + "name": "assessment-objective", + "id": "BCD-01.7_BCD-01.7_A01", + "prose": "Documented roles and responsibilities exist that direct process owners to establish and maintain formal Business Continuity & Disaster Recovery (BC/DR) plans." + }, + { + "name": "assessment-objective", + "id": "BCD-01.7_BCD-01.7_A02", + "prose": "Process owners to establish and maintain formal BC/DR plans to ensure information is detailed enough, accurate and representative of current operations in order to sustain and/or restore operations under adverse conditions." + }, + { + "name": "overview", + "class": "errata", + "prose": "- new control (C2M2)" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#BCD-01" + } + ] + }, + { + "id": "BCD-02", + "title": "Identify Critical Assets", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "BCD-02" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management.1", + "value": "3.5.2.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management.2", + "value": "3.5.3.7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management.3", + "value": "3.5.6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to identify and document the critical Technology Assets, Applications, Services and/or Data (TAASD) that support essential missions and business functions." + }, + { + "name": "assessment-objective", + "id": "BCD-02_BCD-02_A01", + "prose": "systems, applications and services that support essential missions and business functions are identified." + }, + { + "name": "assessment-objective", + "id": "BCD-02_BCD-02_A02", + "prose": "critical system assets supporting organization-defined criteria mission and business functions are identified." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:recover" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo09.01" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai04.02" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai09.02" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:bcr-02" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-15-02" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_6.1.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-1.6" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:id.be-p3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-37-r2:task-p-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-37-r2:task-p-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cp-2-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cp-02-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:cp-02-08" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.308-a-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cp-02-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:cp-02-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cp-02-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:cp-02-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:cp-2-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:cp-2-8" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.oc-04" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.oc-05" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.am-05" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:rc.rp" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:rc.rp-02" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:rc.rp-04" + } + ] + }, + { + "id": "BCD-02.1", + "title": "Resume All Missions & Business Functions", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "BCD-02.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to resume all missions and business functions within Recovery Time Objectives (RTOs) of the contingency plan's activation." + }, + { + "name": "assessment-objective", + "id": "BCD-02.1_BCD-02.1_A01", + "prose": "the contingency plan activation time period within which to resume all mission and business functions is defined." + }, + { + "name": "assessment-objective", + "id": "BCD-02.1_BCD-02.1_A02", + "prose": "the resumption of all mission and business functions are planned for within an organization-defined time period of contingency plan activation." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:recover" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:bcr-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cp-2-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cp-02-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:cp-02-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:cp-02-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cp-02-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:cp-02-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cp-02-03" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:rc.rp" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:rc.rp-02" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:rc.rp-04" + }, + { + "rel": "part-of", + "href": "#BCD-02" + } + ] + }, + { + "id": "BCD-02.2", + "title": "Continue Essential Mission & Business Functions", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to continue essential missions and business functions with little or no loss of operational continuity and sustain that continuity until full system restoration at primary processing and/or storage sites." + }, + { + "name": "assessment-objective", + "id": "BCD-02.2_BCD-02.2_A01", + "prose": "the continuance of organization-defined criteria mission and business functions with minimal or no loss of operational continuity is planned for." + }, + { + "name": "assessment-objective", + "id": "BCD-02.2_BCD-02.2_A02", + "prose": "continuity is sustained until full system restoration at primary processing and/or storage sites." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:recover" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:bcr-03" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:opa-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cp-2-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cp-02-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:cp-02-05" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.308-a-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cp-02-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cp-02-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:cp-02-05" + }, + { + "rel": "part-of", + "href": "#BCD-02" + } + ] + }, + { + "id": "BCD-02.3", + "title": "Resume Essential Missions & Business Functions", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management", + "value": "3.5.6.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to resume essential missions and business functions within an organization-defined time period of contingency plan activation." + }, + { + "name": "assessment-objective", + "id": "BCD-02.3_BCD-02.3_A01", + "prose": "the contingency plan activation time period within which to resume essential mission and business functions is defined." + }, + { + "name": "assessment-objective", + "id": "BCD-02.3_BCD-02.3_A02", + "prose": "the resumption of essential mission and business functions are planned for within an organization-defined time period of contingency plan activation." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:recover" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:bcr-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cp-2-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cp-02-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:cp-02-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:cp-02-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cp-02-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:cp-02-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cp-02-03" + }, + { + "rel": "part-of", + "href": "#BCD-02" + } + ] + }, + { + "id": "BCD-02.4", + "title": "Data Storage Location Reviews", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "BCD-02.4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to perform periodic security reviews of storage locations that contain sensitive/regulated data." + }, + { + "name": "assessment-objective", + "id": "BCD-02.4_BCD-02.4_A01", + "prose": "periodic security reviews of storage locations that contain sensitive / regulated data are performed." + }, + { + "name": "assessment-objective", + "id": "BCD-02.4_BCD-02.4_A02", + "prose": "identified deficiencies identified during reviews of storage locations are tracked via a Plan of Action and Milestones (POA&M), or risk register, through remediation." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:recover" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.14.5e" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.4.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.4.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.4.1.2" + }, + { + "rel": "part-of", + "href": "#BCD-02" + } + ] + }, + { + "id": "BCD-03", + "title": "Contingency Training", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "BCD-03" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to adequately train contingency personnel and applicable stakeholders in their contingency roles and responsibilities." + }, + { + "name": "assessment-objective", + "id": "BCD-03_BCD-03_A01", + "prose": "the time period within which to provide contingency training after assuming a contingency role or responsibility is defined." + }, + { + "name": "assessment-objective", + "id": "BCD-03_BCD-03_A02", + "prose": "the frequency at which to provide training to system users with a contingency role or responsibility is defined." + }, + { + "name": "assessment-objective", + "id": "BCD-03_BCD-03_A03", + "prose": "the frequency at which to review / update contingency training content is defined." + }, + { + "name": "assessment-objective", + "id": "BCD-03_BCD-03_A04", + "prose": "events necessitating review / update of contingency training are defined." + }, + { + "name": "assessment-objective", + "id": "BCD-03_BCD-03_A05", + "prose": "contingency training is provided to system users consistent with assigned roles and responsibilities within an organization-defined time period of assuming a contingency role or responsibility." + }, + { + "name": "assessment-objective", + "id": "BCD-03_BCD-03_A06", + "prose": "contingency training is provided to system users consistent with assigned roles and responsibilities when required by system changes." + }, + { + "name": "assessment-objective", + "id": "BCD-03_BCD-03_A07", + "prose": "contingency training is provided to system users consistent with assigned roles and responsibilities and frequency thereafter." + }, + { + "name": "assessment-objective", + "id": "BCD-03_BCD-03_A08", + "prose": "the contingency plan training content is reviewed / updated frequently." + }, + { + "name": "assessment-objective", + "id": "BCD-03_BCD-03_A09", + "prose": "the contingency plan training content is reviewed / updated following events." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:recover" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss04.06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cp-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cp-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:cp-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cp-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:cp-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:cp-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cp-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:cp-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:cp-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:cp-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:cp-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:cp-3" + } + ] + }, + { + "id": "BCD-03.1", + "title": "Simulated Events", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to incorporate simulated events into contingency training to facilitate effective response by personnel in crisis situations." + }, + { + "name": "assessment-objective", + "id": "BCD-03.1_BCD-03.1_A01", + "prose": "simulated events are incorporated into contingency training to facilitate effective response by personnel in crisis situations." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:recover" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cp-3-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cp-03-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:cp-03-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cp-03-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cp-03-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:cp-3-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:cp-3-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:cp-3-1" + }, + { + "rel": "part-of", + "href": "#BCD-03" + } + ] + }, + { + "id": "BCD-03.2", + "title": "Automated Training Environments", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to provide a more thorough and realistic contingency training environment." + }, + { + "name": "assessment-objective", + "id": "BCD-03.2_BCD-03.2_A01", + "prose": "mechanisms used in operations are employed to provide a more thorough and realistic contingency training environment." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:recover" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cp-3-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cp-03-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cp-03-02" + }, + { + "rel": "part-of", + "href": "#BCD-03" + } + ] + }, + { + "id": "BCD-04", + "title": "Contingency Plan Testing & Exercises", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "BCD-04" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to conduct tests and/or exercises to evaluate the contingency plan's effectiveness and the organization's readiness to execute the plan." + }, + { + "name": "assessment-objective", + "id": "BCD-04_BCD-04_A01", + "prose": "the frequency of testing the contingency plan for the system is defined." + }, + { + "name": "assessment-objective", + "id": "BCD-04_BCD-04_A02", + "prose": "tests for determining the effectiveness of the contingency plan are defined." + }, + { + "name": "assessment-objective", + "id": "BCD-04_BCD-04_A03", + "prose": "tests for determining readiness to execute the contingency plan are defined." + }, + { + "name": "assessment-objective", + "id": "BCD-04_BCD-04_A04", + "prose": "the contingency plan for the system is tested frequently." + }, + { + "name": "assessment-objective", + "id": "BCD-04_BCD-04_A05", + "prose": "tests are used to determine the effectiveness of the plan." + }, + { + "name": "assessment-objective", + "id": "BCD-04_BCD-04_A06", + "prose": "tests are used to determine the readiness to execute the plan." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:recover" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss04.04" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:bcr-06" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:bcr-10" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dcs-15" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:opa-03" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:opa-06" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.5" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.5-a" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.5-b" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.5-c" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.5-d" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.5-e" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.5-f" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.5-g" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.29" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_17.1.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.29" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.30" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:pr.po-p8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cp-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cp-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:cp-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:cp-04" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.308-a-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cp-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:cp-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:cp-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cp-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:cp-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:cp-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:cp-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:cp-4" + } + ] + }, + { + "id": "BCD-04.1", + "title": "Coordinated Testing with Related Plans", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to coordinate contingency plan testing with internal and external elements responsible for related plans." + }, + { + "name": "assessment-objective", + "id": "BCD-04.1_BCD-04.1_A01", + "prose": "contingency plan testing is coordinated with organizational elements responsible for related plans." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:recover" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cp-4-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cp-04-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:cp-04-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cp-04-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:cp-04-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cp-04-01" + }, + { + "rel": "part-of", + "href": "#BCD-04" + } + ] + }, + { + "id": "BCD-04.2", + "title": "Alternate Storage & Processing Sites", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to test contingency plans at alternate storage & processing sites to both familiarize contingency personnel with the facility and evaluate the capabilities of the alternate processing site to support contingency operations." + }, + { + "name": "assessment-objective", + "id": "BCD-04.2_BCD-04.2_A01", + "prose": "the contingency plan is tested at the alternate processing site to familiarize contingency personnel with the facility and available resources." + }, + { + "name": "assessment-objective", + "id": "BCD-04.2_BCD-04.2_A02", + "prose": "the contingency plan is tested at the alternate processing site to evaluate the capabilities of the alternate processing site to support contingency operations." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:recover" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cp-4-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cp-04-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:cp-04-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cp-04-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cp-04-02" + }, + { + "rel": "part-of", + "href": "#BCD-04" + } + ] + }, + { + "id": "BCD-05", + "title": "Contingency Plan Root Cause Analysis (RCA) & Lessons Learned", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "BCD-05" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management", + "value": "3.5.6.3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to conduct a Root Cause Analysis (RCA) and \"lessons learned\" activity every time the contingency plan is activated." + }, + { + "name": "assessment-objective", + "id": "BCD-05_BCD-05_A01", + "prose": "the contingency plan test results are reviewed." + }, + { + "name": "assessment-objective", + "id": "BCD-05_BCD-05_A02", + "prose": "corrective actions to remediate contingency plan deficiencies are initiated, if needed." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss04.08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cp-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cp-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:cp-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:cp-04" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.308-a-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cp-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:cp-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:cp-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cp-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:cp-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:cp-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:cp-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:cp-4" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.im-02" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.im-03" + } + ] + }, + { + "id": "BCD-06", + "title": "Ongoing Contingency Planning", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "BCD-06" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to update contingency plans due to changes affecting:\r\n(1) People (e.g., personnel changes);\r\n(2) Processes (e.g., new, altered or decommissioned business practices, including third-party services)\r\n(3) Technologies (e.g., new, altered or decommissioned technologies);\r\n(4) Data (e.g., changes to data flows and/or data repositories);\r\n(5) Facilities (e.g., new, altered or decommissioned physical infrastructure); and/or\r\n(6) Feedback from contingency plan testing activities." + }, + { + "name": "assessment-objective", + "id": "BCD-06_BCD-06_A01", + "prose": "a contingency plan is developed that identifies essential mission and business functions and associated contingency requirements." + }, + { + "name": "assessment-objective", + "id": "BCD-06_BCD-06_A02", + "prose": "personnel or roles to review a contingency plan is/are defined." + }, + { + "name": "assessment-objective", + "id": "BCD-06_BCD-06_A03", + "prose": "the contingency plan is updated to address changes to the organization, system or environment of operation." + }, + { + "name": "assessment-objective", + "id": "BCD-06_BCD-06_A04", + "prose": "contingency plan changes are communicated to key contingency personnel." + }, + { + "name": "assessment-objective", + "id": "BCD-06_BCD-06_A05", + "prose": "the contingency plan is updated to address problems encountered during contingency plan implementation, execution or testing." + }, + { + "name": "assessment-objective", + "id": "BCD-06_BCD-06_A06", + "prose": "personnel or roles to approve a contingency plan is/are defined." + }, + { + "name": "assessment-objective", + "id": "BCD-06_BCD-06_A07", + "prose": "key contingency personnel (identified by name and/or by role) to whom copies of the contingency plan are distributed are defined." + }, + { + "name": "assessment-objective", + "id": "BCD-06_BCD-06_A08", + "prose": "key contingency organizational elements to which copies of the contingency plan are distributed are defined." + }, + { + "name": "assessment-objective", + "id": "BCD-06_BCD-06_A09", + "prose": "the frequency of contingency plan review is defined." + }, + { + "name": "assessment-objective", + "id": "BCD-06_BCD-06_A10", + "prose": "key contingency personnel (identified by name and/or by role) to communicate changes to are defined." + }, + { + "name": "assessment-objective", + "id": "BCD-06_BCD-06_A11", + "prose": "key contingency organizational elements to communicate changes to are defined." + }, + { + "name": "assessment-objective", + "id": "BCD-06_BCD-06_A12", + "prose": "a contingency plan for the system is developed that provides recovery objectives." + }, + { + "name": "assessment-objective", + "id": "BCD-06_BCD-06_A13", + "prose": "a contingency plan for the system is developed that provides restoration priorities." + }, + { + "name": "assessment-objective", + "id": "BCD-06_BCD-06_A14", + "prose": "a contingency plan for the system is developed that provides metrics." + }, + { + "name": "assessment-objective", + "id": "BCD-06_BCD-06_A15", + "prose": "a contingency plan for the system is developed that addresses contingency roles." + }, + { + "name": "assessment-objective", + "id": "BCD-06_BCD-06_A16", + "prose": "a contingency plan for the system is developed that addresses contingency responsibilities." + }, + { + "name": "assessment-objective", + "id": "BCD-06_BCD-06_A17", + "prose": "a contingency plan for the system is developed that addresses assigned individuals with contact information." + }, + { + "name": "assessment-objective", + "id": "BCD-06_BCD-06_A18", + "prose": "a contingency plan for the system is developed that addresses maintaining essential mission and business functions despite a disruption, compromise or failure of a system, application or service." + }, + { + "name": "assessment-objective", + "id": "BCD-06_BCD-06_A19", + "prose": "a contingency plan for the system is developed that addresses eventual, full-system restoration without deterioration of the controls originally planned and implemented." + }, + { + "name": "assessment-objective", + "id": "BCD-06_BCD-06_A20", + "prose": "a contingency plan for the system is developed that addresses the sharing of contingency information." + }, + { + "name": "assessment-objective", + "id": "BCD-06_BCD-06_A21", + "prose": "a contingency plan for the system is developed that is reviewed by personnel or roles." + }, + { + "name": "assessment-objective", + "id": "BCD-06_BCD-06_A22", + "prose": "a contingency plan for the system is developed that is approved by personnel or roles." + }, + { + "name": "assessment-objective", + "id": "BCD-06_BCD-06_A23", + "prose": "copies of the contingency plan are distributed to key contingency personnel." + }, + { + "name": "assessment-objective", + "id": "BCD-06_BCD-06_A24", + "prose": "copies of the contingency plan are distributed to organizational elements." + }, + { + "name": "assessment-objective", + "id": "BCD-06_BCD-06_A25", + "prose": "contingency planning activities are coordinated with incident handling activities." + }, + { + "name": "assessment-objective", + "id": "BCD-06_BCD-06_A26", + "prose": "the contingency plan for the system is reviewed frequently." + }, + { + "name": "assessment-objective", + "id": "BCD-06_BCD-06_A27", + "prose": "contingency plan changes are communicated to organizational elements." + }, + { + "name": "assessment-objective", + "id": "BCD-06_BCD-06_A28", + "prose": "lessons learned from contingency plan testing or actual contingency activities are incorporated into contingency testing." + }, + { + "name": "assessment-objective", + "id": "BCD-06_BCD-06_A29", + "prose": "lessons learned from contingency plan training or actual contingency activities are incorporated into contingency testing and training." + }, + { + "name": "assessment-objective", + "id": "BCD-06_BCD-06_A30", + "prose": "the contingency plan is protected from unauthorized disclosure." + }, + { + "name": "assessment-objective", + "id": "BCD-06_BCD-06_A31", + "prose": "the contingency plan is protected from unauthorized modification." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:recover" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss04.05" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:bcr-04" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:bcr-09" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_6.3" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_6.3-a" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_6.3-b" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.6" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.6-a" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.6-b" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.6-c" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.6-d" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.6-e" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_10.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cp-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cp-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:cp-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:cp-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cp-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:cp-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:cp-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cp-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:cp-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:cp-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:cp-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:cp-2" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.im-04" + } + ] + }, + { + "id": "BCD-06.1", + "title": "Contingency Planning Components", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to identify components that potentially impact the organization's ability to execute contingency plans, including changes to:\r\n(1) Personnel roles;\r\n(2) Business processes (including the use of third-party services);\r\n(3) Deployed technologies; \r\n(4) Data repositories and/or data flows; and/or\r\n(5) Physical infrastructure." + }, + { + "name": "assessment-objective", + "id": "BCD-06.1_BCD-06.1_A01", + "prose": "the organization identifies components that, if changed, potentially impact the organization's ability to execute contingency plans." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:recover" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss04.05" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:bcr-04" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:bcr-09" + }, + { + "rel": "part-of", + "href": "#BCD-06" + } + ] + }, + { + "id": "BCD-06.2", + "title": "Contingency Plan Update Notifications", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to keep stakeholders informed of changes to contingency plans." + }, + { + "name": "assessment-objective", + "id": "BCD-06.2_BCD-06.2_A01", + "prose": "stakeholders for contingency plans are identified." + }, + { + "name": "assessment-objective", + "id": "BCD-06.2_BCD-06.2_A02", + "prose": "stakeholders are informed of changes to contingency plans." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:recover" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:bcr-09" + }, + { + "rel": "part-of", + "href": "#BCD-06" + } + ] + }, + { + "id": "BCD-07", + "title": "Alternative Security Measures", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to implement alternative or compensating controls to satisfy security functions when the primary means of implementing the security function is unavailable or compromised." + }, + { + "name": "assessment-objective", + "id": "BCD-07_BCD-07_A01", + "prose": "alternative or supplemental security mechanisms are defined." + }, + { + "name": "assessment-objective", + "id": "BCD-07_BCD-07_A02", + "prose": "alternative or supplemental security mechanisms are employed for satisfying security functions when the primary means of implementing the security function is unavailable or compromised." + }, + { + "name": "assessment-objective", + "id": "BCD-07_BCD-07_A03", + "prose": "security functions are defined." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cp-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cp-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cp-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:cp-13" + } + ] + }, + { + "id": "BCD-08", + "title": "Alternate Storage Site", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to establish an alternate storage site that includes both the assets and necessary agreements to permit the storage and recovery of system backup information." + }, + { + "name": "assessment-objective", + "id": "BCD-08_BCD-08_A01", + "prose": "an alternate storage site is established." + }, + { + "name": "assessment-objective", + "id": "BCD-08_BCD-08_A02", + "prose": "establishment of the alternate storage site includes necessary agreements to permit the storage and retrieval of system backup information." + }, + { + "name": "assessment-objective", + "id": "BCD-08_BCD-08_A03", + "prose": "the alternate storage site provides controls equivalent to that of the primary site." + }, + { + "name": "assessment-objective", + "id": "BCD-08_BCD-08_A04", + "prose": "the location or site of the facility where the system resides is planned considering physical and environmental hazards." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.14" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_17.2.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cp-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cp-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pe-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pe-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:cp-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cp-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pe-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:cp-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cp-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:cp-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pe-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:pe-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:cp-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:pe-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:cp-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:pe-23" + } + ] + }, + { + "id": "BCD-08.1", + "title": "Separation from Primary Storage Site", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to separate the alternate storage site from the primary storage site to reduce susceptibility to similar threats." + }, + { + "name": "assessment-objective", + "id": "BCD-08.1_BCD-08.1_A01", + "prose": "an alternate storage site that is sufficiently separated from the primary storage site is identified to reduce susceptibility to the same threats." + }, + { + "name": "overview", + "class": "errata", + "prose": "- renamed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cp-6-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cp-06-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:cp-06-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cp-06-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:cp-06-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cp-06-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:cp-6-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:cp-6-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:cp-6-1" + }, + { + "rel": "part-of", + "href": "#BCD-08" + } + ] + }, + { + "id": "BCD-08.2", + "title": "Primary Storage Site Accessibility", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to identify and mitigate potential accessibility problems to the alternate storage sites in the event of an area-wide disruption or disaster." + }, + { + "name": "assessment-objective", + "id": "BCD-08.2_BCD-08.2_A01", + "prose": "potential accessibility problems to the alternate storage site in the event of an area-wide disruption or disaster are identified." + }, + { + "name": "assessment-objective", + "id": "BCD-08.2_BCD-08.2_A02", + "prose": "explicit mitigation actions to address identified accessibility problems are outlined." + }, + { + "name": "overview", + "class": "errata", + "prose": "- renamed\r\n- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cp-6-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cp-06-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:cp-06-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cp-06-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:cp-06-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cp-06-03" + }, + { + "rel": "part-of", + "href": "#BCD-08" + } + ] + }, + { + "id": "BCD-09", + "title": "Alternate Processing Site", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to establish an alternate processing site that provides security measures equivalent to that of the primary site." + }, + { + "name": "assessment-objective", + "id": "BCD-09_BCD-09_A01", + "prose": "system operations for essential mission and business functions are defined." + }, + { + "name": "assessment-objective", + "id": "BCD-09_BCD-09_A02", + "prose": "time period consistent with recovery time and recovery point objectives is defined." + }, + { + "name": "assessment-objective", + "id": "BCD-09_BCD-09_A03", + "prose": "an alternate processing site, including necessary agreements to permit the transfer and resumption of system operations for essential mission and business functions, is established within an organization-defined time period when the primary processing capabilities are unavailable." + }, + { + "name": "assessment-objective", + "id": "BCD-09_BCD-09_A04", + "prose": "the equipment and supplies required to transfer operations are made available at the alternate processing site or if contracts are in place to support delivery to the site within an organization-specified time period for transfer." + }, + { + "name": "assessment-objective", + "id": "BCD-09_BCD-09_A05", + "prose": "the equipment and supplies required to resume operations are made available at the alternate processing site or if contracts are in place to support delivery to the site within an organization-defined time period for resumption." + }, + { + "name": "assessment-objective", + "id": "BCD-09_BCD-09_A06", + "prose": "controls provided at the alternate processing site are equivalent to those at the primary site." + }, + { + "name": "assessment-objective", + "id": "BCD-09_BCD-09_A07", + "prose": "the location or site of the facility where the system resides is planned considering physical and environmental hazards." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.14" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_17.2.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cp-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cp-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pe-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pe-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:cp-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cp-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pe-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:cp-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cp-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:cp-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pe-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:pe-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:cp-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:pe-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:cp-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:pe-23" + } + ] + }, + { + "id": "BCD-09.1", + "title": "Separation from Primary Processing Site", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to separate the alternate processing site from the primary processing site to reduce susceptibility to similar threats." + }, + { + "name": "assessment-objective", + "id": "BCD-09.1_BCD-09.1_A01", + "prose": "an alternate processing site is sufficiently separated from the primary processing site to reduce susceptibility to the same threats is identified." + }, + { + "name": "overview", + "class": "errata", + "prose": "- renamed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cp-7-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cp-07-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:cp-07-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cp-07-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:cp-07-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cp-07-01" + }, + { + "rel": "part-of", + "href": "#BCD-09" + } + ] + }, + { + "id": "BCD-09.2", + "title": "Alternate Processing Site Accessibility", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to identify and mitigate potential accessibility problems to the alternate processing sites and possible mitigation actions, in the event of an area-wide disruption or disaster." + }, + { + "name": "assessment-objective", + "id": "BCD-09.2_BCD-09.2_A01", + "prose": "potential accessibility problems to alternate processing sites in the event of an area-wide disruption or disaster are identified." + }, + { + "name": "assessment-objective", + "id": "BCD-09.2_BCD-09.2_A02", + "prose": "explicit mitigation actions to address identified accessibility problems are outlined." + }, + { + "name": "overview", + "class": "errata", + "prose": "- renamed\r\n- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:recover" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cp-7-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cp-07-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:cp-07-02" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.310-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cp-07-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:cp-07-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cp-07-02" + }, + { + "rel": "part-of", + "href": "#BCD-09" + } + ] + }, + { + "id": "BCD-09.3", + "title": "Alternate Site Priority of Service", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to address priority-of-service provisions in alternate processing and storage sites that support availability requirements, including Recovery Time Objectives (RTOs)." + }, + { + "name": "assessment-objective", + "id": "BCD-09.3_BCD-09.3_A01", + "prose": "alternate processing site agreements that contain priority-of-service provisions in accordance with availability requirements (including recovery time objectives) are developed." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:recover" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cp-7-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cp-07-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:cp-07-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cp-07-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:cp-07-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cp-07-03" + }, + { + "rel": "part-of", + "href": "#BCD-09" + } + ] + }, + { + "id": "BCD-09.4", + "title": "Preparation for Use", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to prepare the alternate processing alternate to support essential missions and business functions so that the alternate site is capable of being used as the primary site." + }, + { + "name": "assessment-objective", + "id": "BCD-09.4_BCD-09.4_A01", + "prose": "the alternate processing site is prepared so that the site can serve as the operational site supporting essential mission and business functions." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cp-7-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cp-07-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:cp-07-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cp-07-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cp-07-04" + }, + { + "rel": "part-of", + "href": "#BCD-09" + } + ] + }, + { + "id": "BCD-09.5", + "title": "Inability to Return to Primary Site", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to plan and prepare for both natural and manmade circumstances that preclude returning to the primary site." + }, + { + "name": "assessment-objective", + "id": "BCD-09.5_BCD-09.5_A01", + "prose": "circumstances that preclude returning to the primary processing site are planned for." + }, + { + "name": "assessment-objective", + "id": "BCD-09.5_BCD-09.5_A02", + "prose": "circumstances that preclude returning to the primary processing site are prepared for." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cp-7-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cp-07-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cp-07-06" + }, + { + "rel": "part-of", + "href": "#BCD-09" + } + ] + }, + { + "id": "BCD-10", + "title": "Telecommunications Services Availability", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to reduce the likelihood of a single point of failure with primary telecommunications services." + }, + { + "name": "assessment-objective", + "id": "BCD-10_BCD-10_A01", + "prose": "alternative communications protocols in support of maintaining continuity of operations are defined." + }, + { + "name": "assessment-objective", + "id": "BCD-10_BCD-10_A02", + "prose": "the capability to employ alternative communications protocols are provided in support of maintaining continuity of operations." + }, + { + "name": "assessment-objective", + "id": "BCD-10_BCD-10_A03", + "prose": "system operations to be resumed for essential mission and business functions are defined." + }, + { + "name": "assessment-objective", + "id": "BCD-10_BCD-10_A04", + "prose": "time period within which to resume essential mission and business functions when the primary telecommunications capabilities are unavailable is defined." + }, + { + "name": "assessment-objective", + "id": "BCD-10_BCD-10_A05", + "prose": "alternate telecommunications services, including necessary agreements to permit the resumption of system operations, are established for essential mission and business functions within an organization-defined time period when the primary telecommunications capabilities are unavailable at either the primary or alternate processing or storage sites." + }, + { + "name": "assessment-objective", + "id": "BCD-10_BCD-10_A06", + "prose": "alternate telecommunications services to reduce the likelihood of sharing a single point of failure with primary telecommunications services are obtained." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:recover" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cp-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cp-8-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cp-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cp-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cp-08-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cp-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:cp-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:cp-08-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cp-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cp-08-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cp-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:cp-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:cp-08-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cp-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cp-08-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:cp-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:cp-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:cp-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:cp-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:cp-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:cp-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:cp-11" + } + ] + }, + { + "id": "BCD-10.1", + "title": "Telecommunications Priority of Service Provisions", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to formalize primary and alternate telecommunications service agreements contain priority-of-service provisions that support availability requirements, including Recovery Time Objectives (RTOs)." + }, + { + "name": "assessment-objective", + "id": "BCD-10.1_BCD-10.1_A01", + "prose": "primary telecommunications service agreements that contain priority-of-service provisions in accordance with availability requirements (including recovery time objectives) are developed." + }, + { + "name": "assessment-objective", + "id": "BCD-10.1_BCD-10.1_A02", + "prose": "alternate telecommunications service agreements that contain priority-of-service provisions in accordance with availability requirements (including recovery time objectives) are developed." + }, + { + "name": "assessment-objective", + "id": "BCD-10.1_BCD-10.1_A03", + "prose": "Telecommunications Service Priority is requested for all telecommunications services used for national security emergency preparedness if the primary and/or alternate telecommunications services are provided by a common carrier." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:recover" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cp-8-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cp-08-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:cp-08-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cp-08-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:cp-08-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cp-08-01" + }, + { + "rel": "part-of", + "href": "#BCD-10" + } + ] + }, + { + "id": "BCD-10.2", + "title": "Separation of Primary / Alternate Providers", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to obtain alternate telecommunications services from providers that are separated from primary service providers to reduce susceptibility to the same threats." + }, + { + "name": "assessment-objective", + "id": "BCD-10.2_BCD-10.2_A01", + "prose": "alternate telecommunications services from providers that are separated from primary service providers are obtained to reduce susceptibility to the same threats." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cp-8-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cp-08-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:cp-08-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cp-08-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cp-08-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:cp-08-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:cp-8-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:cp-8-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:cp-8-3" + }, + { + "rel": "part-of", + "href": "#BCD-10" + } + ] + }, + { + "id": "BCD-10.3", + "title": "Provider Contingency Plan", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to contractually-require external service providers to have contingency plans that meet organizational contingency requirements." + }, + { + "name": "assessment-objective", + "id": "BCD-10.3_BCD-10.3_A01", + "prose": "the frequency at which to obtain evidence of contingency testing by providers is defined." + }, + { + "name": "assessment-objective", + "id": "BCD-10.3_BCD-10.3_A02", + "prose": "the frequency at which to obtain evidence of contingency training by providers is defined." + }, + { + "name": "assessment-objective", + "id": "BCD-10.3_BCD-10.3_A03", + "prose": "primary telecommunications service providers are required to have contingency plans." + }, + { + "name": "assessment-objective", + "id": "BCD-10.3_BCD-10.3_A04", + "prose": "alternate telecommunications service providers are required to have contingency plans." + }, + { + "name": "assessment-objective", + "id": "BCD-10.3_BCD-10.3_A05", + "prose": "provider contingency plans are reviewed to ensure that the plans meet organizational contingency requirements." + }, + { + "name": "assessment-objective", + "id": "BCD-10.3_BCD-10.3_A06", + "prose": "evidence of contingency testing by providers is obtained." + }, + { + "name": "assessment-objective", + "id": "BCD-10.3_BCD-10.3_A07", + "prose": "evidence of contingency training by providers is obtained." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:bcr-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cp-8-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cp-08-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:cp-08-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cp-08-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cp-08-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:cp-8-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:cp-8-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:cp-8-4" + }, + { + "rel": "part-of", + "href": "#BCD-10" + } + ] + }, + { + "id": "BCD-10.4", + "title": "Alternate Communications Channels", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to maintain command and control capabilities via alternate communications channels and designating alternative decision makers if primary decision makers are unavailable." + }, + { + "name": "assessment-objective", + "id": "BCD-10.4_BCD-10.4_A01", + "prose": "alternate communication paths for system operations and operational command and control are defined." + }, + { + "name": "assessment-objective", + "id": "BCD-10.4_BCD-10.4_A02", + "prose": "alternate communication paths are established for system operations and operational command and control." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-47" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-47" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sc-47" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sc-47" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sc-47" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:sc-47" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sc-47" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sc-47" + }, + { + "rel": "part-of", + "href": "#BCD-10" + } + ] + }, + { + "id": "BCD-11", + "title": "Data Backups", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "BCD-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management.1", + "value": "3.5.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management.2", + "value": "3.5.3.7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to create recurring backups of data, software and/or system images, as well as verify the integrity of these backups, to ensure the availability of the data to satisfy Recovery Time Objectives (RTOs) and Recovery Point Objectives (RPOs)." + }, + { + "name": "assessment-objective", + "id": "BCD-11_BCD-11_A01", + "prose": "the confidentiality of backup sensitive / regulated data is protected at storage locations." + }, + { + "name": "assessment-objective", + "id": "BCD-11_BCD-11_A02", + "prose": "system components for which to conduct backups of user-level information are defined." + }, + { + "name": "assessment-objective", + "id": "BCD-11_BCD-11_A03", + "prose": "the frequency at which to conduct backups of user-level information consistent with recovery time and recovery point objectives is defined." + }, + { + "name": "assessment-objective", + "id": "BCD-11_BCD-11_A04", + "prose": "the frequency at which to conduct backups of system-level information consistent with recovery time and recovery point objectives is defined." + }, + { + "name": "assessment-objective", + "id": "BCD-11_BCD-11_A05", + "prose": "the frequency at which to conduct backups of system documentation consistent with recovery time and recovery point objectives is defined." + }, + { + "name": "assessment-objective", + "id": "BCD-11_BCD-11_A06", + "prose": "backups of user-level information contained in system components are conducted frequently." + }, + { + "name": "assessment-objective", + "id": "BCD-11_BCD-11_A07", + "prose": "backups of system-level information contained in the system are conducted frequently." + }, + { + "name": "assessment-objective", + "id": "BCD-11_BCD-11_A08", + "prose": "backups of system documentation, including security- and privacy-related documentation are conducted frequently." + }, + { + "name": "assessment-objective", + "id": "BCD-11_BCD-11_A09", + "prose": "the confidentiality of backup information is protected." + }, + { + "name": "assessment-objective", + "id": "BCD-11_BCD-11_A10", + "prose": "the integrity of backup information is protected." + }, + { + "name": "assessment-objective", + "id": "BCD-11_BCD-11_A11", + "prose": "the availability of backup information is protected." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_11.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_11.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_11.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_11.2" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo14.10" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss04.07" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:bcr-08" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:avail-2.1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:avail-2.2" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-7.3-re-2" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-7.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.13" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_12.3.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.13" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:pr.po-p3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cp-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-28-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cp-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-28-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sc-28-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:cp-09" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.308-a-7" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.310-d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cp-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-28-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:cp-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:cp-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cp-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:cp-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.8.9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.08.09.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.8.9" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ds-11" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.4.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.4.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.10.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_9.4.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_12.10.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_9.4.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_12.10.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_9.4.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_12.10.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_9.4.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_12.10.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_9.4.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_12.10.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_9.4.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_12.10.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.4.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.4.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.10.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.4.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.4.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.10.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-p2pe:_9.4.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-p2pe:_12.10.1" + } + ] + }, + { + "id": "BCD-11.1", + "title": "Testing for Reliability & Integrity", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "BCD-11.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to routinely test backups that verify the reliability of the backup process, as well as the integrity and availability of the data." + }, + { + "name": "assessment-objective", + "id": "BCD-11.1_BCD-11.1_A01", + "prose": "the frequency at which to test backup information for media reliability is defined." + }, + { + "name": "assessment-objective", + "id": "BCD-11.1_BCD-11.1_A02", + "prose": "the frequency at which to test backup information for information integrity is defined." + }, + { + "name": "assessment-objective", + "id": "BCD-11.1_BCD-11.1_A03", + "prose": "backup information is tested frequently to verify media reliability." + }, + { + "name": "assessment-objective", + "id": "BCD-11.1_BCD-11.1_A04", + "prose": "backup information is tested frequently to verify information integrity." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:recover" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_11.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_11.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_11.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_11.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_11.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_11.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_11.5" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:bcr-08" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-7.3-1" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.13" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_12.3.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cp-9-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cp-09-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:cp-09-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cp-09-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:cp-09-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cp-09-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:cp-09-01" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ds-11" + }, + { + "rel": "part-of", + "href": "#BCD-11" + } + ] + }, + { + "id": "BCD-11.2", + "title": "Separate Storage for Critical Information", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to store backup copies of critical software and other security-related information in a separate facility or in a fire-rated container that is not collocated with the system being backed up." + }, + { + "name": "assessment-objective", + "id": "BCD-11.2_BCD-11.2_A01", + "prose": "critical system software and other security-related information backups to be stored in a separate facility are defined." + }, + { + "name": "assessment-objective", + "id": "BCD-11.2_BCD-11.2_A02", + "prose": "backup copies of critical system software and other security-related information are stored in a separate facility or in a fire rated container that is not collocated with the operational system." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:avail-2.4" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-7.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.13" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_12.3.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cp-9-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cp-09-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:cp-09-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cp-09-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cp-09-03" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.4.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_9.4.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_9.4.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_9.4.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_9.4.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_9.4.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_9.4.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.4.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.4.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-p2pe:_9.4.1.1" + }, + { + "rel": "part-of", + "href": "#BCD-11" + } + ] + }, + { + "id": "BCD-11.3", + "title": "Recovery Images", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to reimage assets from configuration-controlled and integrity-protected images that represent a secure, operational state." + }, + { + "name": "assessment-objective", + "id": "BCD-11.3_BCD-11.3_A01", + "prose": "assets are reimaged from configuration-controlled images." + }, + { + "name": "assessment-objective", + "id": "BCD-11.3_BCD-11.3_A02", + "prose": "images are integrity-protected that represent a secure, operational state." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:recover" + }, + { + "rel": "part-of", + "href": "#BCD-11" + } + ] + }, + { + "id": "BCD-11.4", + "title": "Cryptographic Protection", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "BCD-11.4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Cryptographic mechanisms exist to prevent the unauthorized disclosure and/or modification of backup information." + }, + { + "name": "assessment-objective", + "id": "BCD-11.4_BCD-11.4_A01", + "prose": "the confidentiality of backup information is protected." + }, + { + "name": "assessment-objective", + "id": "BCD-11.4_BCD-11.4_A02", + "prose": "backup information to protect against unauthorized disclosure and modification is defined." + }, + { + "name": "assessment-objective", + "id": "BCD-11.4_BCD-11.4_A03", + "prose": "cryptographic mechanisms are implemented to prevent the unauthorized disclosure of sensitive / regulated data at backup storage locations." + }, + { + "name": "assessment-objective", + "id": "BCD-11.4_BCD-11.4_A04", + "prose": "cryptographic mechanisms are implemented to prevent the unauthorized disclosure of CUI at backup storage locations." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_11.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_11.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_11.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_11.3" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:bcr-08" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:avail-2.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.13" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_12.3.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cp-09-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-28-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sc-28-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:cp-09-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:sc-28-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cp-09-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-28-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:cp-09-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sc-28-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cp-09-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sc-28-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:cp-09-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sc-28-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.8.9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.08.09.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.08.09.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.8.9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.08.09.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.08.09.b" + }, + { + "rel": "part-of", + "href": "#BCD-11" + } + ] + }, + { + "id": "BCD-11.5", + "title": "Test Restoration Using Sampling", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "BCD-11.5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to utilize sampling of available backups to test recovery capabilities as part of business continuity plan testing." + }, + { + "name": "assessment-objective", + "id": "BCD-11.5_BCD-11.5_A01", + "prose": "a sample of backup information in the restoration of selected system functions is used as part of contingency plan testing." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_11.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_11.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_11.5" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:bcr-06" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:bcr-08" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:avail-2.3" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-7.3-re-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cp-9-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cp-09-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:cp-09-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cp-09-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cp-09-02" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ds-11" + }, + { + "rel": "part-of", + "href": "#BCD-11" + } + ] + }, + { + "id": "BCD-11.6", + "title": "Transfer to Alternate Storage Site", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "BCD-11.6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to transfer backup data to the alternate storage site at a rate that is capable of meeting both Recovery Time Objectives (RTOs) and Recovery Point Objectives (RPOs)." + }, + { + "name": "assessment-objective", + "id": "BCD-11.6_BCD-11.6_A01", + "prose": "system backup information is transferred to the alternate storage site for an organization-defined time period." + }, + { + "name": "assessment-objective", + "id": "BCD-11.6_BCD-11.6_A02", + "prose": "time period consistent with recovery time and recovery point objectives is defined." + }, + { + "name": "assessment-objective", + "id": "BCD-11.6_BCD-11.6_A03", + "prose": "transfer rate consistent with recovery time and recovery point objectives is defined." + }, + { + "name": "assessment-objective", + "id": "BCD-11.6_BCD-11.6_A04", + "prose": "system backup information is transferred to the alternate storage site transfer rate." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dcs-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cp-9-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cp-09-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:cp-09-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cp-09-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cp-09-05" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ds-11" + }, + { + "rel": "part-of", + "href": "#BCD-11" + } + ] + }, + { + "id": "BCD-11.7", + "title": "Redundant Secondary System", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to maintain a failover capability, which is not collocated with the primary Technology Asset, Application and/or Service (TAAS), which can be activated with little-to-no loss of information or disruption to operations." + }, + { + "name": "assessment-objective", + "id": "BCD-11.7_BCD-11.7_A01", + "prose": "system backup is conducted by maintaining a redundant secondary system that can be activated without loss of information or disruption to operations." + }, + { + "name": "assessment-objective", + "id": "BCD-11.7_BCD-11.7_A02", + "prose": "system backup is conducted by maintaining a redundant secondary system that is not collocated with the primary system." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:bcr-03" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:bcr-11" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.14" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_17.2.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cp-9-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cp-09-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cp-09-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:cp-09-06" + }, + { + "rel": "part-of", + "href": "#BCD-11" + } + ] + }, + { + "id": "BCD-11.8", + "title": "Dual Authorization For Backup Media Destruction", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to implement and enforce dual authorization for the deletion or destruction of sensitive backup media and data." + }, + { + "name": "assessment-objective", + "id": "BCD-11.8_BCD-11.8_A01", + "prose": "critical or sensitive system and organizational operations for which dual authorization is to be enforced are identified." + }, + { + "name": "assessment-objective", + "id": "BCD-11.8_BCD-11.8_A02", + "prose": "dual authorization is employed to execute critical or sensitive system and organizational operations." + }, + { + "name": "assessment-objective", + "id": "BCD-11.8_BCD-11.8_A03", + "prose": "backup information for which to enforce dual authorization in order to delete or destroy is defined." + }, + { + "name": "assessment-objective", + "id": "BCD-11.8_BCD-11.8_A04", + "prose": "dual authorization for the deletion or destruction of backup information is enforced." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cp-9-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cp-09-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cp-09-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:cp-09-07" + }, + { + "rel": "part-of", + "href": "#BCD-11" + } + ] + }, + { + "id": "BCD-11.9", + "title": "Backup Access", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to restrict access to backups to privileged users with assigned roles for data backup and recovery operations." + }, + { + "name": "assessment-objective", + "id": "BCD-11.9_BCD-11.9_A01", + "prose": "Role Based Access Controls (RBAC) are utilized to logically restrict access to backups to privileged users with assigned roles for data backup and recovery operations." + }, + { + "name": "assessment-objective", + "id": "BCD-11.9_BCD-11.9_A02", + "prose": "Physical Access Controls (PAC) are utilized to physically restrict access to backups to privileged users with assigned roles for data backup and recovery operations." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#BCD-11" + } + ] + }, + { + "id": "BCD-11.10", + "title": "Backup Modification and/or Destruction", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to restrict access to modify and/or delete backups to privileged users with assigned data backup and recovery operations roles." + }, + { + "name": "assessment-objective", + "id": "BCD-11.10_BCD-11.10_A01", + "prose": "Role Based Access Controls (RBAC) are utilized to logically restrict access to modify and/or delete backups to privileged users with assigned data backup and recovery operations roles." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#BCD-11" + } + ] + }, + { + "id": "BCD-12", + "title": "Technology Assets, Applications and/or Services (TAAS) Recovery & Reconstitution", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "BCD-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure the secure recovery and reconstitution of Technology Assets, Applications and/or Services (TAAS) to a known state after a disruption, compromise or failure." + }, + { + "name": "assessment-objective", + "id": "BCD-12_BCD-12_A01", + "prose": "secure baseline configurations exist for systems, applications and/or services protect the confidentiality and integrity of data being stored, processed and/or transmitted." + }, + { + "name": "assessment-objective", + "id": "BCD-12_BCD-12_A02", + "prose": "systems, applications and/or services are securely recovered / reconstituted to a known, trusted state after a disruption, compromise or failure." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_11.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_11.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_11.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_11.3" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo14.10" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss04.07" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:opa-06" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:avail-1.3" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:avail-2.5" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-7.4" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-7.4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cp-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cp-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:cp-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:cp-10" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.308-a-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cp-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:cp-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:cp-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cp-10" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:rc" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:rc.rp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:rc.rp-05" + } + ] + }, + { + "id": "BCD-12.1", + "title": "Transaction Recovery", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to utilize specialized backup mechanisms that will allow transaction recovery for transaction-based Technology Assets, Applications and/or Services (TAAS) in accordance with Recovery Point Objectives (RPOs)." + }, + { + "name": "assessment-objective", + "id": "BCD-12.1_BCD-12.1_A01", + "prose": "transaction recovery is implemented for systems that are transaction-based." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:recover" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cp-10-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cp-10-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:cp-10-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cp-10-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:cp-10-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cp-10-02" + }, + { + "rel": "part-of", + "href": "#BCD-12" + } + ] + }, + { + "id": "BCD-12.2", + "title": "Failover Capability", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to implement real-time or near-real-time failover capability to maintain availability of critical Technology Assets, Applications, Services and/or Data (TAASD)." + }, + { + "name": "assessment-objective", + "id": "BCD-12.2_BCD-12.2_A01", + "prose": "system components for which Mean Time to Failure (MTTF) should be determined are defined." + }, + { + "name": "assessment-objective", + "id": "BCD-12.2_BCD-12.2_A02", + "prose": "Mean Time to Failure (MTTF) is determined for system components in specific environments of operation." + }, + { + "name": "assessment-objective", + "id": "BCD-12.2_BCD-12.2_A03", + "prose": "Mean Time to Failure (MTTF) substitution criteria to be used as a means to exchange active and standby components are defined." + }, + { + "name": "assessment-objective", + "id": "BCD-12.2_BCD-12.2_A04", + "prose": "substitute system components and a means to exchange active and standby components are provided in accordance with Mean Time to Failure (MTTF) substitution criteria." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:recover" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:bcr-03" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:bcr-11" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:opa-03" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:opa-06" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-2.10-b" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-7.1" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:pr.pt-p4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cp-10-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:si-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:si-13" + }, + { + "rel": "part-of", + "href": "#BCD-12" + } + ] + }, + { + "id": "BCD-12.3", + "title": "Electronic Discovery (eDiscovery)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "BCD-12.3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to utilize electronic discovery (eDiscovery) that covers current and archived communication transactions." + }, + { + "name": "assessment-objective", + "id": "BCD-12.3_BCD-12.3_A01", + "prose": "electronic discovery (eDiscovery) capabilities cover current and archived communication transactions." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:respond" + }, + { + "rel": "part-of", + "href": "#BCD-12" + } + ] + }, + { + "id": "BCD-12.4", + "title": "Restore Within Time Period", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to restore Technology Assets, Applications, Services and/or Data (TAASD) within organization-defined restoration time-periods from configuration-controlled and integrity-protected information; representing a known, operational state for the asset." + }, + { + "name": "assessment-objective", + "id": "BCD-12.4_BCD-12.4_A01", + "prose": "the capability to restore system components within organization-defined restoration time periods from configuration-controlled and integrity-protected information representing a known, operational state for the components is provided." + }, + { + "name": "assessment-objective", + "id": "BCD-12.4_BCD-12.4_A02", + "prose": "restoration time period within which to restore system components to a known, operational state is defined." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:respond" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:bcr-03" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:avail-1.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cp-10-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cp-10-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:cp-10-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cp-10-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cp-10-04" + }, + { + "rel": "part-of", + "href": "#BCD-12" + } + ] + }, + { + "id": "BCD-13", + "title": "Backup & Restoration Hardware Protection", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "BCD-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to protect backup and restoration hardware and software." + }, + { + "name": "assessment-objective", + "id": "BCD-13_BCD-13_A01", + "prose": "system components used for recovery and reconstitution are protected." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_11.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_11.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_11.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_11.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cp-10-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cp-10-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cp-10-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:cp-10-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cp-10-06" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:rc.rp-03" + } + ] + }, + { + "id": "BCD-13.1", + "title": "Restoration Integrity Verification", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "BCD-13.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to verify the integrity of backups and other restoration assets prior to using them for restoration." + }, + { + "name": "assessment-objective", + "id": "BCD-13.1_BCD-13.1_A01", + "prose": "methods to verify the integrity of backups and other restoration assets are defined." + }, + { + "name": "assessment-objective", + "id": "BCD-13.1_BCD-13.1_A02", + "prose": "the integrity of backups and other restoration assets is verified, prior to using them for restoration." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:rc.rp-03" + }, + { + "rel": "part-of", + "href": "#BCD-13" + } + ] + }, + { + "id": "BCD-14", + "title": "Isolated Recovery Environment", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to utilize an isolated, non-production environment to perform data backup and recovery operations through offline, cloud or off-site capabilities." + }, + { + "name": "assessment-objective", + "id": "BCD-14_BCD-14_A01", + "prose": "the organization utilizes an isolated, non-production environment to perform data backups via offline, cloud or off-site capabilities." + }, + { + "name": "assessment-objective", + "id": "BCD-14_BCD-14_A02", + "prose": "the organization utilizes an isolated, non-production environment to perform recovery operations through offline, cloud or off-site capabilities." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:recover" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_11.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_11.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_11.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_11.4" + } + ] + }, + { + "id": "BCD-15", + "title": "Reserve Hardware", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to purchase and maintain a sufficient reserve of spare hardware to ensure essential missions and business functions can be maintained in the event of a supply chain disruption." + }, + { + "name": "assessment-objective", + "id": "BCD-15_BCD-15_A01", + "prose": "systems and system components that are or may be hard to replace in a supply chain disruption are identified." + }, + { + "name": "assessment-objective", + "id": "BCD-15_BCD-15_A02", + "prose": "resources are allocated to obtain hard to replace identified systems and system components for critical business functions." + }, + { + "name": "assessment-objective", + "id": "BCD-15_BCD-15_A03", + "prose": "a pool of hard to replace identified systems and system components for critical business functions is maintained." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:recover" + } + ] + }, + { + "id": "BCD-16", + "title": "AI & Autonomous Technologies Incidents", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to handle failures or incidents with Artificial Intelligence (AI) and Autonomous Technologies (AAT) deemed to be high-risk." + }, + { + "name": "assessment-objective", + "id": "BCD-16_BCD-16_A01", + "prose": "an incident handling capability for incidents involving Artificial Intelligence (AI) and Autonomous Technologies (AAT) exists." + }, + { + "name": "assessment-objective", + "id": "BCD-16_BCD-16_A02", + "prose": "processes are in place to handle failures or incidents in third-party data or Artificial Intelligence (AI) and Autonomous Technologies (AAT) deemed to be high-risk." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:respond" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-6.2" + } + ] + } + ] + }, + { + "id": "capacity-performance-planning", + "title": "Capacity & Performance Planning", + "controls": [ + { + "id": "CAP-01", + "title": "Capacity & Performance Management", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "CAP-01" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to facilitate the implementation of capacity management controls to ensure optimal system performance to meet expected and anticipated future capacity requirements." + }, + { + "name": "assessment-objective", + "id": "CAP-01_CAP-01_A01", + "prose": "resources to be allocated to protect the availability of resources are defined." + }, + { + "name": "assessment-objective", + "id": "CAP-01_CAP-01_A02", + "prose": "controls to protect the availability of resources are defined." + }, + { + "name": "assessment-objective", + "id": "CAP-01_CAP-01_A03", + "prose": "the availability of resources is protected by allocating resources per organization-defined criteria." + }, + { + "name": "assessment-objective", + "id": "CAP-01_CAP-01_A04", + "prose": "capacity & performance planning operations are conducted according to documented policies, standards, procedures and/or other organizational directives." + }, + { + "name": "assessment-objective", + "id": "CAP-01_CAP-01_A05", + "prose": "adequate resources (e.g., people, processes, technologies, data and/or facilities) are provided to support capacity & performance planning operations." + }, + { + "name": "assessment-objective", + "id": "CAP-01_CAP-01_A06", + "prose": "responsibility and authority for the performance of capacity & performance planning-related activities are assigned to designated personnel." + }, + { + "name": "assessment-objective", + "id": "CAP-01_CAP-01_A07", + "prose": "personnel performing capacity & performance planning-related activities have the skills and knowledge needed to perform their assigned duties." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai04.04" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai04.05" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:i-s-02" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:snt-03" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:avail-1.2" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-7.2" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-7.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.6" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_12.1.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.6" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:pr.ds-p4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-5-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-05-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sc-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:sc-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-05-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:sc-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sc-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sc-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sc-05-03" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ir-04" + } + ] + }, + { + "id": "CAP-02", + "title": "Resource Priority", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "CAP-02" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to control resource utilization of Technology Assets, Applications and/or Services (TAAS) that are susceptible to Denial of Service (DoS) attacks to limit and prioritize the use of resources." + }, + { + "name": "assessment-objective", + "id": "CAP-02_CAP-02_A01", + "prose": "types of denial-of-service events to be protected against or limited are defined." + }, + { + "name": "assessment-objective", + "id": "CAP-02_CAP-02_A02", + "prose": "controls by type of denial-of-service event are employed to achieve the denial-of-service protection objective." + }, + { + "name": "assessment-objective", + "id": "CAP-02_CAP-02_A03", + "prose": "resource prioritization is designed to limit negative effects of denial-of-service events." + }, + { + "name": "assessment-objective", + "id": "CAP-02_CAP-02_A04", + "prose": "controls to achieve the denial-of-service objective by type of denial-of-service event are defined." + }, + { + "name": "assessment-objective", + "id": "CAP-02_CAP-02_A05", + "prose": "the effects of types of denial-of-service events are organizationally-defined." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:opa-08" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:opa-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-5-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-5-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-05-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-05-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sc-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sc-05-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:sc-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-05-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-05-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:sc-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sc-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sc-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sc-05-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sc-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sc-5-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sc-5-2" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ir-04" + } + ] + }, + { + "id": "CAP-03", + "title": "Capacity Planning", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "CAP-03" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to conduct capacity planning so that necessary capacity for information processing, telecommunications and environmental support will exist during contingency operations." + }, + { + "name": "assessment-objective", + "id": "CAP-03_CAP-03_A01", + "prose": "capacity planning is conducted so that the necessary capacity exists during contingency operations for information processing." + }, + { + "name": "assessment-objective", + "id": "CAP-03_CAP-03_A02", + "prose": "capacity planning is conducted so that the necessary capacity exists during contingency operations for telecommunications." + }, + { + "name": "assessment-objective", + "id": "CAP-03_CAP-03_A03", + "prose": "capacity planning is conducted so that the necessary capacity exists during contingency operations for environmental support." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:i-s-02" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.6" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_12.1.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.6" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:pr.ds-p4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-5-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cp-2-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cp-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-05-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sc-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sc-05-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:sc-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:cp-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cp-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-05-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:sc-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sc-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cp-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sc-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sc-05-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:cp-2-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sc-5-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:cp-2-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sc-5-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:cp-2-2" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ir-04" + } + ] + }, + { + "id": "CAP-04", + "title": "Performance Monitoring", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "CAP-04" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to centrally-monitor and alert on the operating state and health status of critical Technology Assets, Applications and/or Services (TAAS)." + }, + { + "name": "assessment-objective", + "id": "CAP-04_CAP-04_A01", + "prose": "the operating state and health status of critical systems, applications and services is centrally-monitored." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:snt-03" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ir-04" + } + ] + }, + { + "id": "CAP-05", + "title": "Elastic Expansion", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "CAP-05" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.33", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.34", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.35", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.36", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to automatically scale the resources available for Technology Assets, Applications and/or Services (TAAS), as demand conditions change." + }, + { + "name": "assessment-objective", + "id": "CAP-05_CAP-05_A01", + "prose": "resources needing dynamic expansion (e.g., elasticity) are defined." + }, + { + "name": "assessment-objective", + "id": "CAP-05_CAP-05_A02", + "prose": "applicable services are configured to dynamically expand the resources available for services, as demand conditions change." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ir-04" + } + ] + }, + { + "id": "CAP-06", + "title": "Regional Delivery", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "CAP-06" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.33", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.34", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.35", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.36", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.37", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to support operations that are geographically dispersed via regional delivery of technological Technology Assets, Applications and/or Services (TAAS)." + }, + { + "name": "assessment-objective", + "id": "CAP-06_CAP-06_A01", + "prose": "business processes requiring regional delivery of technological services are identified." + }, + { + "name": "assessment-objective", + "id": "CAP-06_CAP-06_A02", + "prose": "applicable services are configured to support geographically dispersed business processes requiring regional delivery of technological services." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:opa-03" + } + ] + } + ] + }, + { + "id": "change-management", + "title": "Change Management", + "controls": [ + { + "id": "CHG-01", + "title": "Change Management Program", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "CHG-01" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.33", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.34", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.35", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.36", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to facilitate the implementation of a change management program." + }, + { + "name": "assessment-objective", + "id": "CHG-01_CHG-01_A01", + "prose": "configuration change control activities are coordinated and overseen by organization-defined configuration change control element." + }, + { + "name": "assessment-objective", + "id": "CHG-01_CHG-01_A02", + "prose": "configuration change decisions associated with the system are documented." + }, + { + "name": "assessment-objective", + "id": "CHG-01_CHG-01_A03", + "prose": "approved configuration-controlled changes to the system are implemented." + }, + { + "name": "assessment-objective", + "id": "CHG-01_CHG-01_A04", + "prose": "the time period to retain records of configuration-controlled changes is defined." + }, + { + "name": "assessment-objective", + "id": "CHG-01_CHG-01_A05", + "prose": "proposed configuration-controlled changes to the system are reviewed." + }, + { + "name": "assessment-objective", + "id": "CHG-01_CHG-01_A06", + "prose": "the configuration change control element responsible for coordinating and overseeing change control activities is defined." + }, + { + "name": "assessment-objective", + "id": "CHG-01_CHG-01_A07", + "prose": "the frequency at which the configuration control element convenes is defined." + }, + { + "name": "assessment-objective", + "id": "CHG-01_CHG-01_A08", + "prose": "configuration change conditions that prompt the configuration control element to convene are defined." + }, + { + "name": "assessment-objective", + "id": "CHG-01_CHG-01_A09", + "prose": "the types of changes to the system that are configuration-controlled are determined and documented." + }, + { + "name": "assessment-objective", + "id": "CHG-01_CHG-01_A10", + "prose": "proposed configuration-controlled changes to the system are approved or disapproved with explicit consideration for cybersecurity / data privacy impact analyses." + }, + { + "name": "assessment-objective", + "id": "CHG-01_CHG-01_A11", + "prose": "records of configuration-controlled changes to the system are retained for an organization-defined time period." + }, + { + "name": "assessment-objective", + "id": "CHG-01_CHG-01_A12", + "prose": "activities associated with configuration-controlled changes to the system are monitored." + }, + { + "name": "assessment-objective", + "id": "CHG-01_CHG-01_A13", + "prose": "activities associated with configuration-controlled changes to the system are reviewed." + }, + { + "name": "assessment-objective", + "id": "CHG-01_CHG-01_A14", + "prose": "the configuration control element convenes organization-defined criteria." + }, + { + "name": "assessment-objective", + "id": "CHG-01_CHG-01_A15", + "prose": "change management operations are conducted according to documented policies, standards, procedures and/or other organizational directives." + }, + { + "name": "assessment-objective", + "id": "CHG-01_CHG-01_A16", + "prose": "adequate resources (e.g., people, processes, technologies, data and/or facilities) are provided to support change management operations." + }, + { + "name": "assessment-objective", + "id": "CHG-01_CHG-01_A17", + "prose": "responsibility and authority for the performance of change management-related activities are assigned to designated personnel." + }, + { + "name": "assessment-objective", + "id": "CHG-01_CHG-01_A18", + "prose": "personnel performing change management-related activities have the skills and knowledge needed to perform their assigned duties." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai06.03" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_9" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:ccc-01" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:ccc-03" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:cek-06" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:ccm-02" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:ccm-08" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:dat-04" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:iam-22" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:cm-1.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.19" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.32" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_12.1.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.19" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.32" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.3" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:pr.po-p2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cm-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cm-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:cm-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:cm-03" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.308-a-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cm-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:cm-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cm-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:cm-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:cm-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:cm-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:cm-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.4.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.02.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.03.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.04.03.d-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.04.03.d-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.13.2e" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-5" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.ra-07" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.5.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.5.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_6.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_6.5.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_6.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_6.5.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.5.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.5.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.5.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.5.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.4.2" + } + ] + }, + { + "id": "CHG-02", + "title": "Configuration Change Control", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "CHG-02" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to govern the technical configuration change control processes." + }, + { + "name": "assessment-objective", + "id": "CHG-02_CHG-02_A01", + "prose": "changes to the system are reviewed." + }, + { + "name": "assessment-objective", + "id": "CHG-02_CHG-02_A02", + "prose": "changes to the system are approved or disapproved." + }, + { + "name": "assessment-objective", + "id": "CHG-02_CHG-02_A03", + "prose": "approved configuration-controlled changes to the system are implemented." + }, + { + "name": "assessment-objective", + "id": "CHG-02_CHG-02_A04", + "prose": "changes to the system are logged." + }, + { + "name": "assessment-objective", + "id": "CHG-02_CHG-02_A05", + "prose": "changes to the system are tracked." + }, + { + "name": "assessment-objective", + "id": "CHG-02_CHG-02_A06", + "prose": "the types of changes to the system that are configuration-controlled are defined." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai06.03" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai06.04" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai07.01" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai07.02" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai07.06" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_9" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:ccc-02" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:ccc-03" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:ccc-05" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:ccc-09" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:cek-05" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:ccm-02" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:ccm-08" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:gvn-05" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:iam-22" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:cm-1.4" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:data-1.3-a" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:data-1.3-b" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.19" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.32" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_12.1.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_14.2.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.19" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.32" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.3" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:pr.po-p2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cm-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cm-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-08-31" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:cm-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sa-08-31" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:cm-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cm-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-08-31" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:cm-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cm-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sa-08-31" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:cm-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:cm-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:cm-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:cm-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.4.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.02.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.03.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.03.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.03.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.4.3-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.4.3-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.4.3-c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.4.3-d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.04.03.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.04.03.c-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-5" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.ra-07" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.5.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_6.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_6.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.5.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.5.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.4.2" + } + ] + }, + { + "id": "CHG-02.1", + "title": "Prohibition Of Changes", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "CHG-02.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to prohibit unauthorized changes, unless organization-approved change requests are received." + }, + { + "name": "assessment-objective", + "id": "CHG-02.1_CHG-02.1_A01", + "prose": "mechanisms used to automate configuration change control are defined." + }, + { + "name": "assessment-objective", + "id": "CHG-02.1_CHG-02.1_A02", + "prose": "organization-defined automated mechanisms are used to prohibit changes to the system until designated approvals are received." + }, + { + "name": "assessment-objective", + "id": "CHG-02.1_CHG-02.1_A03", + "prose": "approval authorities to be notified of and request approval for proposed changes to the system are defined." + }, + { + "name": "assessment-objective", + "id": "CHG-02.1_CHG-02.1_A04", + "prose": "the time period after which to highlight changes that have not been approved or disapproved is defined." + }, + { + "name": "assessment-objective", + "id": "CHG-02.1_CHG-02.1_A05", + "prose": "personnel to be notified when approved changes are complete is/are defined." + }, + { + "name": "assessment-objective", + "id": "CHG-02.1_CHG-02.1_A06", + "prose": "organization-defined automated mechanisms are used to document proposed changes to the system." + }, + { + "name": "assessment-objective", + "id": "CHG-02.1_CHG-02.1_A07", + "prose": "organization-defined automated mechanisms are used to notify organization-defined approval authorities of proposed changes to the system and request change approval." + }, + { + "name": "assessment-objective", + "id": "CHG-02.1_CHG-02.1_A08", + "prose": "organization-defined automated mechanisms are used to highlight proposed changes to the system that have not been approved or disapproved within an organization-defined time period." + }, + { + "name": "assessment-objective", + "id": "CHG-02.1_CHG-02.1_A09", + "prose": "organization-defined automated mechanisms are used to document all changes to the system." + }, + { + "name": "assessment-objective", + "id": "CHG-02.1_CHG-02.1_A10", + "prose": "organization-defined automated mechanisms are used to notify organization-defined personnel when approved changes to the system are completed." + }, + { + "name": "assessment-objective", + "id": "CHG-02.1_CHG-02.1_A11", + "prose": "proposed configuration-controlled changes to the system are approved or disapproved with explicit consideration for security impacts." + }, + { + "name": "assessment-objective", + "id": "CHG-02.1_CHG-02.1_A12", + "prose": "logical access restrictions associated with changes to the system are approved." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:ccc-03" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:ccc-04" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:gvn-05" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cm-3-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cm-03-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:cm-03-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cm-03-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cm-03-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:cm-3-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:cm-3-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:cm-3-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.02.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.03.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.04.03.b-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.04.05-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-5" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.ra-07" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_6.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_6.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.5.1" + }, + { + "rel": "part-of", + "href": "#CHG-02" + } + ] + }, + { + "id": "CHG-02.2", + "title": "Test, Validate & Document Changes", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "CHG-02.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to appropriately test and document proposed changes in a non-production environment before changes are implemented in a production environment." + }, + { + "name": "assessment-objective", + "id": "CHG-02.2_CHG-02.2_A01", + "prose": "changes to the system are tested before finalizing the implementation of the changes." + }, + { + "name": "assessment-objective", + "id": "CHG-02.2_CHG-02.2_A02", + "prose": "changes to the system are validated before finalizing the implementation of the changes." + }, + { + "name": "assessment-objective", + "id": "CHG-02.2_CHG-02.2_A03", + "prose": "changes to the system are documented before finalizing the implementation of the changes." + }, + { + "name": "assessment-objective", + "id": "CHG-02.2_CHG-02.2_A04", + "prose": "the frequency at which changes are to be reviewed is defined." + }, + { + "name": "assessment-objective", + "id": "CHG-02.2_CHG-02.2_A05", + "prose": "the circumstances under which changes are to be reviewed are defined." + }, + { + "name": "assessment-objective", + "id": "CHG-02.2_CHG-02.2_A06", + "prose": "changes to the system are reviewed organization-defined frequency or when organization-defined circumstances to determine whether unauthorized changes have occurred." + }, + { + "name": "assessment-objective", + "id": "CHG-02.2_CHG-02.2_A07", + "prose": "systems or system components that implement the security design principle of secure system modification are defined." + }, + { + "name": "assessment-objective", + "id": "CHG-02.2_CHG-02.2_A08", + "prose": "systems or system components implement the security design principle of secure system modification." + }, + { + "name": "assessment-objective", + "id": "CHG-02.2_CHG-02.2_A09", + "prose": "approved configuration-controlled changes to the system are documented." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai07.05" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_9" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:ccc-02" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:ccm-08" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:comp-3.4" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-3.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.19" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.32" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_12.1.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_14.2.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.19" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.32" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cm-3-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cm-5-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cm-03-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cm-03-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-08-31" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:cm-03-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sa-08-31" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:cm-03-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cm-03-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cm-03-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-08-31" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sa-08-31" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:cm-3-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:cm-3-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:cm-3-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:nfo-cm-3-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.03.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.03.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.04.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.11.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.04.03.c-02" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.ra-07" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.5.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:a3.2.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_6.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_6.5.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_6.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_6.5.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.5.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.5.2" + }, + { + "rel": "part-of", + "href": "#CHG-02" + } + ] + }, + { + "id": "CHG-02.3", + "title": "Security, Compliance & Resilience Representative for Asset Lifecycle Changes", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "CHG-02.3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to include a cybersecurity and/or data protection representative in the configuration change control review process." + }, + { + "name": "assessment-objective", + "id": "CHG-02.3_CHG-02.3_A01", + "prose": "the configuration change control element of which the cybersecurity / data privacy representatives are to be members is defined." + }, + { + "name": "assessment-objective", + "id": "CHG-02.3_CHG-02.3_A02", + "prose": "security representatives required to be members of the change control element are defined." + }, + { + "name": "assessment-objective", + "id": "CHG-02.3_CHG-02.3_A03", + "prose": "privacy representatives required to be members of the change control element are defined." + }, + { + "name": "assessment-objective", + "id": "CHG-02.3_CHG-02.3_A04", + "prose": "organization-defined security representatives are required to be members of the organization-defined configuration change control element." + }, + { + "name": "assessment-objective", + "id": "CHG-02.3_CHG-02.3_A05", + "prose": "organization-defined privacy representatives are required to be members of the organization-defined configuration change control element." + }, + { + "name": "overview", + "class": "errata", + "prose": "- renamed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_9" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:ccm-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cm-3-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cm-03-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:cm-03-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cm-03-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:cm-03-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cm-03-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:cm-3-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:cm-3-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:cm-3-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.04.a" + }, + { + "rel": "part-of", + "href": "#CHG-02" + } + ] + }, + { + "id": "CHG-02.4", + "title": "Automated Security Response", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to implement remediation actions upon the detection of unauthorized baseline configurations change(s)." + }, + { + "name": "assessment-objective", + "id": "CHG-02.4_CHG-02.4_A01", + "prose": "security responses to be automatically implemented are defined." + }, + { + "name": "assessment-objective", + "id": "CHG-02.4_CHG-02.4_A02", + "prose": "organization-defined security responses are automatically implemented if baseline configurations are changed in an unauthorized manner." + }, + { + "name": "assessment-objective", + "id": "CHG-02.4_CHG-02.4_A03", + "prose": "automated mechanisms place misconfigured or unauthorized system components in a quarantine or remediation network." + }, + { + "name": "assessment-objective", + "id": "CHG-02.4_CHG-02.4_A04", + "prose": "automated mechanisms to detect misconfigured or unauthorized system components are identified." + }, + { + "name": "assessment-objective", + "id": "CHG-02.4_CHG-02.4_A05", + "prose": "automated mechanisms are employed to detect misconfigured or unauthorized system components." + }, + { + "name": "assessment-objective", + "id": "CHG-02.4_CHG-02.4_A06", + "prose": "misconfigured or unauthorized system components are detected." + }, + { + "name": "assessment-objective", + "id": "CHG-02.4_CHG-02.4_A07", + "prose": "after detection, system components are removed and/or placed in a quarantine or remediation network to facilitate patching, re-configuration or other mitigations." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:ccc-04" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:ccc-06" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:ccc-09" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:gvn-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cm-3-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cm-03-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cm-03-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.7" + }, + { + "rel": "part-of", + "href": "#CHG-02" + } + ] + }, + { + "id": "CHG-02.5", + "title": "Cryptographic Management", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to govern assets involved in providing cryptographic protections according to the organization's configuration management processes." + }, + { + "name": "assessment-objective", + "id": "CHG-02.5_CHG-02.5_A01", + "prose": "controls provided by cryptographic mechanisms that are to be under configuration management are defined." + }, + { + "name": "assessment-objective", + "id": "CHG-02.5_CHG-02.5_A02", + "prose": "cryptographic mechanisms used to provide organization-defined controls are under configuration management." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cm-3-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cm-03-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:cm-03-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cm-03-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cm-03-06" + }, + { + "rel": "part-of", + "href": "#CHG-02" + } + ] + }, + { + "id": "CHG-03", + "title": "Security Impact Analysis for Changes", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "CHG-03" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to analyze proposed changes for potential security impacts, prior to the implementation of the change." + }, + { + "name": "assessment-objective", + "id": "CHG-03_CHG-03_A01", + "prose": "proposed configuration-controlled changes to the system are reviewed with explicit consideration for security impacts." + }, + { + "name": "assessment-objective", + "id": "CHG-03_CHG-03_A02", + "prose": "changes to the system are analyzed to determine potential security impacts prior to change implementation." + }, + { + "name": "assessment-objective", + "id": "CHG-03_CHG-03_A03", + "prose": "changes to the system are analyzed to determine potential privacy impacts prior to change implementation." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_9" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:ccc-03" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:ccc-05" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.5.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.5.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cm-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cm-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:cm-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:cm-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cm-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:cm-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:cm-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cm-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:cm-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:cm-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:cm-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.4.4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.03.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.04.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.11.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.4.4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.04.03.b-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.04.04.a" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.ra-07" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.5.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.5.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:a3.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:a3.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_6.5.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_6.5.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.5.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.5.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.5.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.5.6" + } + ] + }, + { + "id": "CHG-04", + "title": "Access Restriction For Change", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "CHG-04" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to enforce configuration restrictions in an effort to restrict the ability of users to conduct unauthorized changes." + }, + { + "name": "assessment-objective", + "id": "CHG-04_CHG-04_A01", + "prose": "logical access restrictions associated with changes to the system are defined and documented." + }, + { + "name": "assessment-objective", + "id": "CHG-04_CHG-04_A02", + "prose": "logical access restrictions associated with changes to the system are enforced." + }, + { + "name": "assessment-objective", + "id": "CHG-04_CHG-04_A03", + "prose": "logical access restrictions associated with changes to the system are approved." + }, + { + "name": "assessment-objective", + "id": "CHG-04_CHG-04_A04", + "prose": "physical access restrictions associated with changes to the system are defined and documented." + }, + { + "name": "assessment-objective", + "id": "CHG-04_CHG-04_A05", + "prose": "physical access restrictions associated with changes to the system are approved." + }, + { + "name": "assessment-objective", + "id": "CHG-04_CHG-04_A06", + "prose": "physical access restrictions associated with changes to the system are enforced." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:ccc-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cm-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cm-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:cm-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:cm-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cm-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:cm-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:cm-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cm-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:cm-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:cm-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:cm-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:cm-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.4.5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.02.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.4.5-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.4.5-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.4.5-c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.4.5-d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.4.5-e" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.4.5-f" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.4.5-g" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.4.5-h" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:ps.1" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.ra-07" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.2.8" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.2.8" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.2.8" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.2.8" + } + ] + }, + { + "id": "CHG-04.1", + "title": "Automated Access Enforcement / Auditing", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "CHG-04.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to perform after-the-fact reviews of configuration change logs to discover any unauthorized changes." + }, + { + "name": "assessment-objective", + "id": "CHG-04.1_CHG-04.1_A01", + "prose": "mechanisms used to automate the enforcement of access restrictions are defined." + }, + { + "name": "assessment-objective", + "id": "CHG-04.1_CHG-04.1_A02", + "prose": "access restrictions for change are enforced using organization-defined automated mechanisms." + }, + { + "name": "assessment-objective", + "id": "CHG-04.1_CHG-04.1_A03", + "prose": "audit records of enforcement actions are automatically generated." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:ccc-04" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:ccc-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cm-5-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cm-05-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:cm-05-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cm-05-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cm-05-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:cm-5-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:cm-5-1" + }, + { + "rel": "part-of", + "href": "#CHG-04" + } + ] + }, + { + "id": "CHG-04.2", + "title": "Signed Components", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to prevent the installation of software and firmware components without verification that the component has been digitally signed using an organization-approved certificate authority." + }, + { + "name": "assessment-objective", + "id": "CHG-04.2_CHG-04.2_A01", + "prose": "software or firmware components requiring verification of a digitally signed certificate before installation are defined." + }, + { + "name": "assessment-objective", + "id": "CHG-04.2_CHG-04.2_A02", + "prose": "the installation of software or firmware components is prevented unless it is verified that the software has been digitally signed using a certificate recognized and approved by the organization." + }, + { + "name": "assessment-objective", + "id": "CHG-04.2_CHG-04.2_A03", + "prose": "software or firmware components to be authenticated by cryptographic mechanisms prior to installation are defined." + }, + { + "name": "assessment-objective", + "id": "CHG-04.2_CHG-04.2_A04", + "prose": "cryptographic mechanisms are implemented to authenticate software or firmware components prior to installation." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-3.4-1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:edr-2.4-1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:hdr-3.10-1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:ndr-3.10-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cm-5-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cm-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-07-15" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:si-07-15" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cm-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-07-15" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:si-07-15" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:cm-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:si-07-15" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:cm-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:si-7-15" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:cm-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:si-7-15" + }, + { + "rel": "part-of", + "href": "#CHG-04" + } + ] + }, + { + "id": "CHG-04.3", + "title": "Dual Authorization for Change", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to enforce a two-person rule for implementing changes to critical Technology Assets, Applications and/or Services (TAAS)." + }, + { + "name": "assessment-objective", + "id": "CHG-04.3_CHG-04.3_A01", + "prose": "critical or sensitive system and organizational operations for which dual authorization is to be enforced are identified." + }, + { + "name": "assessment-objective", + "id": "CHG-04.3_CHG-04.3_A02", + "prose": "dual authorization is employed to execute critical or sensitive system and organizational operations." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:user-2.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ac-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cm-5-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cm-05-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ac-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:ac-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cm-05-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ac-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ac-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:cm-05-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ac-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:ac-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ac-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ac-5" + }, + { + "rel": "part-of", + "href": "#CHG-04" + } + ] + }, + { + "id": "CHG-04.4", + "title": "Permissions To Implement Changes", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "CHG-04.4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to limit operational privileges for implementing changes." + }, + { + "name": "assessment-objective", + "id": "CHG-04.4_CHG-04.4_A01", + "prose": "privileges to change system components within a production or operational environment are limited." + }, + { + "name": "assessment-objective", + "id": "CHG-04.4_CHG-04.4_A02", + "prose": "logical access restrictions associated with changes to the system are enforced." + }, + { + "name": "assessment-objective", + "id": "CHG-04.4_CHG-04.4_A03", + "prose": "the frequency at which to review privileges is defined." + }, + { + "name": "assessment-objective", + "id": "CHG-04.4_CHG-04.4_A04", + "prose": "the frequency at which to reevaluate privileges is defined." + }, + { + "name": "assessment-objective", + "id": "CHG-04.4_CHG-04.4_A05", + "prose": "privileges to change system-related information within a production or operational environment are limited." + }, + { + "name": "assessment-objective", + "id": "CHG-04.4_CHG-04.4_A06", + "prose": "privileges are reviewed per an organization-defined frequency." + }, + { + "name": "assessment-objective", + "id": "CHG-04.4_CHG-04.4_A07", + "prose": "privileges are reevaluated per an organization-defined frequency." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss06.03" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:ccc-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cm-5-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cm-05-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cm-05-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:cm-05-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.04.05-06" + }, + { + "rel": "part-of", + "href": "#CHG-04" + } + ] + }, + { + "id": "CHG-04.5", + "title": "Library Privileges", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to restrict software library privileges to those individuals with a pertinent business need for access." + }, + { + "name": "assessment-objective", + "id": "CHG-04.5_CHG-04.5_A01", + "prose": "privileges to change software resident within software libraries are limited." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cm-5-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cm-05-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cm-05-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:cm-05-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:cm-5-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:cm-5-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:ps.1" + }, + { + "rel": "part-of", + "href": "#CHG-04" + } + ] + }, + { + "id": "CHG-05", + "title": "Stakeholder Notification of Changes", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "CHG-05" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure stakeholders are made aware of and understand the impact of proposed changes." + }, + { + "name": "assessment-objective", + "id": "CHG-05_CHG-05_A01", + "prose": "as part of the organization's change management processes, stakeholders are alerted to spread awareness of the potential impact(s) from proposed changes." + }, + { + "name": "assessment-objective", + "id": "CHG-05_CHG-05_A02", + "prose": "changes to the system or system component location where sensitive / regulated data is processed are documented." + }, + { + "name": "assessment-objective", + "id": "CHG-05_CHG-05_A03", + "prose": "changes to the system or system component location where sensitive / regulated data is stored are documented." + }, + { + "name": "assessment-objective", + "id": "CHG-05_CHG-05_A04", + "prose": "changes to the system or system component location where CUI is processed are documented." + }, + { + "name": "assessment-objective", + "id": "CHG-05_CHG-05_A05", + "prose": "changes to the system or system component location where CUI is stored are documented." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:edm05.01" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:edm05.02" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:edm05.03" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo14.01" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:ccc-05" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:cek-06" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.5.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.5.3" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-5.0" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cm-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cm-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:cm-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:cm-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cm-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:cm-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cm-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:cm-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:cm-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:cm-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:cm-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:nfo-cm-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.11.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.04.11.b-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.04.11.b-02" + } + ] + }, + { + "id": "CHG-06", + "title": "Control Functionality Verification", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "CHG-06" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to verify the functionality of security, compliance and resilience controls following implemented changes to ensure applicable controls operate as designed." + }, + { + "name": "assessment-objective", + "id": "CHG-06_CHG-06_A01", + "prose": "security functions to be verified for correct operation are defined." + }, + { + "name": "assessment-objective", + "id": "CHG-06_CHG-06_A02", + "prose": "organization-defined activities are initiated when anomalies are discovered." + }, + { + "name": "assessment-objective", + "id": "CHG-06_CHG-06_A03", + "prose": "the security requirements for the system continue to be satisfied after the system changes have been implemented." + }, + { + "name": "assessment-objective", + "id": "CHG-06_CHG-06_A04", + "prose": "privacy functions to be verified for correct operation are defined." + }, + { + "name": "assessment-objective", + "id": "CHG-06_CHG-06_A05", + "prose": "system transitional states requiring the verification of cybersecurity / data privacy functions are defined." + }, + { + "name": "assessment-objective", + "id": "CHG-06_CHG-06_A06", + "prose": "the frequency at which to verify the correct operation of cybersecurity / data privacy functions is defined." + }, + { + "name": "assessment-objective", + "id": "CHG-06_CHG-06_A07", + "prose": "alternative action(s) to be performed when anomalies are discovered are defined." + }, + { + "name": "assessment-objective", + "id": "CHG-06_CHG-06_A08", + "prose": "cybersecurity / data privacy functions are verified to be operating correctly." + }, + { + "name": "assessment-objective", + "id": "CHG-06_CHG-06_A09", + "prose": "personnel or roles to be alerted of failed cybersecurity / data privacy verification tests is/are defined." + }, + { + "name": "assessment-objective", + "id": "CHG-06_CHG-06_A10", + "prose": "pertinent personnel or roles is/are alerted to failed cybersecurity / data privacy verification tests." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_18.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_18.4" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai07.08" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-3.3" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-3.3" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-3.3-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cm-3-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:si-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cm-03-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-08-31" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:cm-03-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sa-08-31" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:cm-03-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:si-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cm-03-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-08-31" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:cm-03-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cm-03-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:si-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sa-08-31" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:si-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:cm-3-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:cm-3-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:cm-3-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.04.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.04.04.b" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.5.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.7.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:a3.2.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_6.5.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_6.5.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.5.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.7.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.5.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.7.3" + } + ] + }, + { + "id": "CHG-06.1", + "title": "Report Verification Results", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to report the results of security, compliance and resilience capability verification to appropriate organizational management." + }, + { + "name": "assessment-objective", + "id": "CHG-06.1_CHG-06.1_A01", + "prose": "personnel or roles designated to receive the results of cybersecurity / data privacy function verification is/are defined." + }, + { + "name": "assessment-objective", + "id": "CHG-06.1_CHG-06.1_A02", + "prose": "the results of security and/or function verification are reported to pertinent personnel or roles." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-06-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-06-03" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.5.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_6.5.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_6.5.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.5.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.5.2" + }, + { + "rel": "part-of", + "href": "#CHG-06" + } + ] + }, + { + "id": "CHG-07", + "title": "Emergency Changes", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to govern change management procedures for \"emergency\" changes." + }, + { + "name": "assessment-objective", + "id": "CHG-07_CHG-07_A01", + "prose": "criteria to \"emergency\" changes are defined." + }, + { + "name": "assessment-objective", + "id": "CHG-07_CHG-07_A02", + "prose": "change management procedures govern \"emergency\" changes." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai06.02" + } + ] + }, + { + "id": "CHG-07.1", + "title": "Documenting Emergency Changes", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to document the results of \"emergency\" changes, including an explanation for why standard change management procedures could not be followed." + }, + { + "name": "assessment-objective", + "id": "CHG-07.1_CHG-07.1_A01", + "prose": "the documented results of \"emergency\" changes include an explanation for why standard change management procedures could not be followed." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#CHG-07" + } + ] + } + ] + }, + { + "id": "embedded-technology", + "title": "Embedded Technology", + "controls": [ + { + "id": "CHG-08", + "title": "Dual Approval For High-Impact Environments", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to require dual approval for any changes that might result in a serious incident that could adversely impact:\r\n(1) Business processes; and/or\r\n(2) Technology Assets, Applications, Services and/or Data (TAASD)." + }, + { + "name": "assessment-objective", + "id": "CHG-08_CHG-08_A01", + "prose": "Business processes that require dual approval for any changes that might result in a serious, but adverse impact are identified." + }, + { + "name": "assessment-objective", + "id": "CHG-08_CHG-08_A02", + "prose": "Technology Assets, Applications, Services and/or Data (TAASD) that require dual approval for any changes that might result in a serious, but adverse impact are identified." + }, + { + "name": "assessment-objective", + "id": "CHG-08_CHG-08_A03", + "prose": "Processes and/or technologies are implemented for instances that require dual approval for any changes that might result in a serious incident that could adversely impact operations." + }, + { + "name": "overview", + "class": "errata", + "prose": "- new control (IEC 62443-4-2)" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-2.1-4" + } + ] + }, + { + "id": "EMB-01", + "title": "Embedded Technology Security Program", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management", + "value": "3.5.3.3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.33", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.34", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.35", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.36", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.37", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.38", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.39", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to facilitate the implementation of embedded technology controls." + }, + { + "name": "assessment-objective", + "id": "EMB-01_EMB-01_A01", + "prose": "embedded technology controls are implemented to protect the confidentiality of Operational Technology (OT) and/or Internet of Things (IoT) technologies." + }, + { + "name": "assessment-objective", + "id": "EMB-01_EMB-01_A02", + "prose": "embedded technology controls are implemented to protect the integrity of Operational Technology (OT) and/or Internet of Things (IoT) technologies." + }, + { + "name": "assessment-objective", + "id": "EMB-01_EMB-01_A03", + "prose": "embedded technology controls are implemented to protect the availability of Operational Technology (OT) and/or Internet of Things (IoT) technologies." + }, + { + "name": "assessment-objective", + "id": "EMB-01_EMB-01_A04", + "prose": "embedded technology controls are implemented to protect the safety of Operational Technology (OT) and/or Internet of Things (IoT) technologies." + }, + { + "name": "assessment-objective", + "id": "EMB-01_EMB-01_A05", + "prose": "embedded technology management operations are conducted according to documented policies, standards, procedures and/or other organizational directives." + }, + { + "name": "assessment-objective", + "id": "EMB-01_EMB-01_A06", + "prose": "adequate resources (e.g., people, processes, technologies, data and/or facilities) are provided to support embedded technology management operations." + }, + { + "name": "assessment-objective", + "id": "EMB-01_EMB-01_A07", + "prose": "responsibility and authority for the performance of embedded technology management-related activities are assigned to designated personnel." + }, + { + "name": "assessment-objective", + "id": "EMB-01_EMB-01_A08", + "prose": "personnel performing embedded technology management-related activities have the skills and knowledge needed to perform their assigned duties." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:gvn-01" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:gvn-02" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:pol-03" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:vln-04" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a01-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a02-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a05-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a09-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a10-2025" + } + ] + }, + { + "id": "EMB-02", + "title": "Internet of Things (IOT)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to proactively manage the security, compliance and resilience risks associated with Internet of Things (IoT)." + }, + { + "name": "assessment-objective", + "id": "EMB-02_EMB-02_A01", + "prose": "cybersecurity / data privacy risks associated with Internet of Things (IoT) are proactively managed." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + } + ] + }, + { + "id": "EMB-03", + "title": "Operational Technology (OT)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to proactively manage the security, compliance and resilience risks associated with Operational Technology (OT)." + }, + { + "name": "assessment-objective", + "id": "EMB-03_EMB-03_A01", + "prose": "cybersecurity / data privacy risks associated with Operational Technology (OT) are proactively managed." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + } + ] + }, + { + "id": "EMB-04", + "title": "Interface Security", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to protect embedded devices against unauthorized use of the physical factory diagnostic and test interface(s)." + }, + { + "name": "assessment-objective", + "id": "EMB-04_EMB-04_A01", + "prose": "embedded devices are protected against unauthorized use of the physical factory diagnostic and test interface(s)." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:iot-05" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:phy-01" + } + ] + }, + { + "id": "EMB-05", + "title": "Embedded Technology Configuration Monitoring", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to generate log entries on embedded devices when configuration changes or attempts to access interfaces are detected." + }, + { + "name": "assessment-objective", + "id": "EMB-05_EMB-05_A01", + "prose": "embedded devices generate log entries when configuration changes or attempts to access interfaces are detected." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:ccm-03" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:gvn-05" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:phy-01" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:snt-03" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:edr-3.11-1" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a05-2025" + } + ] + }, + { + "id": "EMB-06", + "title": "Prevent Alterations", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to protect embedded devices by preventing the unauthorized installation and execution of software." + }, + { + "name": "assessment-objective", + "id": "EMB-06_EMB-06_A01", + "prose": "embedded devices are protected by preventing the unauthorized installation and execution of software." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:iot-05" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:edr-3.2" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a05-2025" + } + ] + }, + { + "id": "EMB-07", + "title": "Embedded Technology Maintenance", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to securely update software and upgrade functionality on embedded devices." + }, + { + "name": "assessment-objective", + "id": "EMB-07_EMB-07_A01", + "prose": "embedded devices are capable of securely receiving software updates and upgraded functionality." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + } + ] + }, + { + "id": "EMB-08", + "title": "Resilience To Outages", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to configure embedded technology to be resilient to data network and power outages." + }, + { + "name": "assessment-objective", + "id": "EMB-08_EMB-08_A01", + "prose": "embedded technologies are configured to be resilient to data network and power outages." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:sap-03" + } + ] + }, + { + "id": "EMB-09", + "title": "Power Level Monitoring", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to monitor the power levels of embedded technologies for decreased or excessive power usage, including battery drainage, to investigate for device tampering." + }, + { + "name": "assessment-objective", + "id": "EMB-09_EMB-09_A01", + "prose": "power levels of embedded technologies are monitored for decreased or excessive power usage, including battery drainage." + }, + { + "name": "assessment-objective", + "id": "EMB-09_EMB-09_A02", + "prose": "incidents of decreased or excessive power usage, including battery drainage, are investigated for device tampering." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:asm-03" + } + ] + }, + { + "id": "EMB-10", + "title": "Embedded Technology Reviews", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to perform evaluations of deployed embedded technologies as needed, or at least on an annual basis, to ensure that necessary updates to mitigate the risks associated with legacy embedded technologies are identified and implemented." + }, + { + "name": "assessment-objective", + "id": "EMB-10_EMB-10_A01", + "prose": "deployed embedded technologies are evaluated per an organization-defined interval (no less than annually) to ensure that necessary updates to mitigate the risks associated with legacy embedded technologies are identified and implemented." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:ccm-01" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:iot-08" + } + ] + }, + { + "id": "EMB-11", + "title": "Message Queuing Telemetry Transport (MQTT) Security", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to enforce the security of Message Queuing Telemetry Transport (MQTT) traffic." + }, + { + "name": "assessment-objective", + "id": "EMB-11_EMB-11_A01", + "prose": "configurations enforce the security of Message Queuing Telemetry Transport (MQTT) traffic." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:com-01" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:com-07" + } + ] + }, + { + "id": "EMB-12", + "title": "Restrict Communications", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to require embedded technologies to initiate all communications and drop new, incoming communications." + }, + { + "name": "assessment-objective", + "id": "EMB-12_EMB-12_A01", + "prose": "configurations for embedded technologies require the initiation of all communications and drop new, incoming communications." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:cls-08" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:com-10" + } + ] + }, + { + "id": "EMB-13", + "title": "Authorized Communications", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to restrict embedded technologies to communicate only with authorized peers and service endpoints." + }, + { + "name": "assessment-objective", + "id": "EMB-13_EMB-13_A01", + "prose": "configurations for embedded technologies restrict communications to authorized peers and service endpoints." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:cls-08" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:com-11" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:snt-04" + } + ] + }, + { + "id": "EMB-14", + "title": "Operating Environment Certification", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to determine if embedded technologies are certified for secure use in the proposed operating environment." + }, + { + "name": "assessment-objective", + "id": "EMB-14_EMB-14_A01", + "prose": "embedded technologies certifications are verified for use in the proposed operating environment." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:gvn-09" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:iot-07" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:iot-08" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:lgl-01" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:rsm-03" + } + ] + }, + { + "id": "EMB-15", + "title": "Safety Assessment", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to evaluate the safety aspects of embedded technologies via a fault tree analysis, or similar method, to determine possible consequences of misuse, misconfiguration and/or failure." + }, + { + "name": "assessment-objective", + "id": "EMB-15_EMB-15_A01", + "prose": "the safety aspects of embedded technologies are evaluated via a fault tree analysis or similar method, to determine possible consequences of misuse, misconfiguration and/or failure." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:gvn-09" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:gvn-10" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:lgl-01" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:data-1.3" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-2.12-001" + } + ] + }, + { + "id": "EMB-16", + "title": "Certificate-Based Authentication", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to enforce certificate-based authentication for embedded technologies (e.g., IoT, OT, etc.) and their supporting services." + }, + { + "name": "assessment-objective", + "id": "EMB-16_EMB-16_A01", + "prose": "certificate-based authentication is enforced for embedded technologies (e.g., IoT, OT, etc.) and their supporting services." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:cls-08" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:iam-03" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:edr-3.10-1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:hdr-2.4-1" + } + ] + }, + { + "id": "EMB-17", + "title": "Chip-To-Cloud Security", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to implement embedded technologies that utilize pre-provisioned cloud trust anchors to support secure bootstrap and Zero Touch Provisioning (ZTP)." + }, + { + "name": "assessment-objective", + "id": "EMB-17_EMB-17_A01", + "prose": "embedded technologies utilize pre-provisioned cloud trust anchors to support secure bootstrap and Zero Touch Provisioning (ZTP)." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:cls-08" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:iot-04" + } + ] + }, + { + "id": "EMB-18", + "title": "Real-Time Operating System (RTOS) Security", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure embedded technologies utilize a securely configured Real-Time Operating System (RTOS)." + }, + { + "name": "assessment-objective", + "id": "EMB-18_EMB-18_A01", + "prose": "embedded technologies utilize a securely configured Real-Time Operating System (RTOS)." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:iot-06" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:iot-07" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:iot-09" + } + ] + }, + { + "id": "EMB-19", + "title": "Safe Operations", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to continuously validate autonomous systems that trigger an automatic state change when safe operation is no longer assured." + }, + { + "name": "assessment-objective", + "id": "EMB-19_EMB-19_A01", + "prose": "autonomous systems are continuously validated to trigger an automatic state change when safe operation is no longer assured." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:sap-02" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:sap-09" + } + ] + } + ] + }, + { + "id": "cloud-security", + "title": "Cloud Security", + "controls": [ + { + "id": "CLD-01", + "title": "Cloud Services", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "CLD-01" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.33", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.34", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.35", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.36", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.37", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.38", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.39", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to facilitate the implementation of cloud management controls to ensure cloud instances are secure and in-line with industry practices." + }, + { + "name": "assessment-objective", + "id": "CLD-01_CLD-01_A01", + "prose": "the organization facilitates the implementation of cloud management controls to ensure cloud instances are securely configured and maintained." + }, + { + "name": "assessment-objective", + "id": "CLD-01_CLD-01_A02", + "prose": "secure baseline configurations exist for cloud-based systems, applications and services to protect the confidentiality, integrity and availability of data being stored, processed and/or transmitted." + }, + { + "name": "assessment-objective", + "id": "CLD-01_CLD-01_A03", + "prose": "cloud management operations are conducted according to documented policies, standards, procedures and/or other organizational directives." + }, + { + "name": "assessment-objective", + "id": "CLD-01_CLD-01_A04", + "prose": "adequate resources (e.g., people, processes, technologies, data and/or facilities) are provided to support cloud management operations." + }, + { + "name": "assessment-objective", + "id": "CLD-01_CLD-01_A05", + "prose": "responsibility and authority for the performance of cloud management-related activities are assigned to designated personnel." + }, + { + "name": "assessment-objective", + "id": "CLD-01_CLD-01_A06", + "prose": "personnel performing cloud management-related activities have the skills and knowledge needed to perform their assigned duties." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:ipy-01" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:ipy-04" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:cls-01" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:cls-05" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.23" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.1.22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:nfo-pl-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.8.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_12.8.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_12.8.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_12.8.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_12.8.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_12.8.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_12.8.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.8.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.8.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-p2pe:_12.8.1" + } + ] + }, + { + "id": "CLD-01.1", + "title": "Cloud Infrastructure Onboarding", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure cloud services are designed and configured so Technology Assets, Applications and/or Services (TAAS) are secured in accordance with applicable organizational standards, as well as statutory, regulatory and contractual obligations." + }, + { + "name": "assessment-objective", + "id": "CLD-01.1_CLD-01.1_A01", + "prose": "the design and configuration process for cloud services is formally governed so systems, applications and processes are secured in accordance with applicable organizational standards, as well as statutory, regulatory and contractual obligations." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#CLD-01" + } + ] + }, + { + "id": "CLD-01.2", + "title": "Cloud Infrastructure Offboarding", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure cloud services are decommissioned so that data is securely transitioned to new systems or archived in accordance with applicable organizational standards, as well as statutory, regulatory and contractual obligations." + }, + { + "name": "assessment-objective", + "id": "CLD-01.2_CLD-01.2_A01", + "prose": "the decommission process for cloud services is formally governed so that data is securely transitioned to new systems or archived in accordance with applicable organizational standards, as well as statutory, regulatory and contractual obligations." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#CLD-01" + } + ] + }, + { + "id": "CLD-02", + "title": "Cloud Security Architecture", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "CLD-02" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure the cloud security architecture supports the organization's technology strategy to securely design, configure and maintain cloud employments." + }, + { + "name": "assessment-objective", + "id": "CLD-02_CLD-02_A01", + "prose": "a cloud security architecture is defined to address cloud employments that support the organization's mission." + }, + { + "name": "assessment-objective", + "id": "CLD-02_CLD-02_A02", + "prose": "the cloud security architecture supports the organization's technology strategy to securely design, configure and maintain cloud employments." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:cls-01" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:cls-05" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.23" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_4.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_4.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.1.22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:nfo-pl-8" + } + ] + }, + { + "id": "CLD-03", + "title": "Cloud Infrastructure Security Subnet", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to host security-specific technologies in a dedicated subnet." + }, + { + "name": "assessment-objective", + "id": "CLD-03_CLD-03_A01", + "prose": "cloud security management subnets are logically isolated." + }, + { + "name": "assessment-objective", + "id": "CLD-03_CLD-03_A02", + "prose": "cloud security management subnet system components and functions to be isolated are defined." + }, + { + "name": "assessment-objective", + "id": "CLD-03_CLD-03_A03", + "prose": "organization-defined criteria are used to isolate cloud security management subnets." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-07-29" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sc-07-29" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-07-29" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:sc-07-29" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sc-07-29" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sc-07-29" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sc-07-29" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.13.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:nfo-pl-8" + } + ] + }, + { + "id": "CLD-04", + "title": "Application Programming Interface (API) Security", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure support for secure interoperability between components with Application Programming Interfaces (APIs)." + }, + { + "name": "assessment-objective", + "id": "CLD-04_CLD-04_A01", + "prose": "information/data exchange supports secure data portability." + }, + { + "name": "assessment-objective", + "id": "CLD-04_CLD-04_A02", + "prose": "information processing interoperability is supported." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:ais-08" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:ipy-02" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:ipy-03" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:cls-07" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:cls-12" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:cls-13" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.23" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.26" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.23" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.26" + } + ] + }, + { + "id": "CLD-04.1", + "title": "API Gateway", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to implement an Application Programming Interface (API) Gateway, or similar technology, to serve as a controlled entry point that manages interactions between client-facing requests and backend services." + }, + { + "name": "assessment-objective", + "id": "CLD-04.1_CLD-04.1_A01", + "prose": "an Application Programming Interface (API) Gateway, or similar technology, serves as a controlled entry point that manages interactions between client-facing requests and backend services." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#CLD-04" + } + ] + }, + { + "id": "CLD-05", + "title": "Virtual Machine Images", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure the integrity of virtual machine images at all times." + }, + { + "name": "assessment-objective", + "id": "CLD-05_CLD-05_A01", + "prose": "virtual machine images are protected to ensure continued integrity." + }, + { + "name": "assessment-objective", + "id": "CLD-05_CLD-05_A02", + "prose": "virtual machine images are governed according to the organization's established change control processes." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + } + ] + }, + { + "id": "CLD-06", + "title": "Multi-Tenant Environments", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "CLD-06" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure multi-tenant owned or managed assets (physical and virtual) are designed and governed such that provider and customer (tenant) user access is appropriately segmented from other tenant users." + }, + { + "name": "assessment-objective", + "id": "CLD-06_CLD-06_A01", + "prose": "multi-tenant owned / managed assets (physical and virtual) are designed and governed such that provider and customer (tenant) user access is appropriately segmented from other tenant users." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.23" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.1.22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.22-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.22-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.22-c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.22-d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.22-e" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:a1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:a1.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:a1.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:a1.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:a1.1.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:a1.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:a1.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:a1.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:a1.1.4" + } + ] + }, + { + "id": "CLD-06.1", + "title": "Customer Responsibility Matrix (CRM)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to formally document a Customer Responsibility Matrix (CRM), delineating assigned responsibilities for security, compliance and resilience controls between the Cloud Service Provider (CSP) and its customers." + }, + { + "name": "assessment-objective", + "id": "CLD-06.1_CLD-06.1_A01", + "prose": "a documented Customer Responsibility Matrix (CRM) delineates assigned responsibilities for controls between the Cloud Service Provider (CSP) and its customers." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_4.3-c" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.23" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.23" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.4.1" + }, + { + "rel": "part-of", + "href": "#CLD-06" + } + ] + }, + { + "id": "CLD-06.2", + "title": "Multi-Tenant Event Logging Capabilities", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure Multi-Tenant Service Providers (MTSP) facilitate security event logging capabilities for its customers that are consistent with applicable statutory, regulatory and/or contractual obligations." + }, + { + "name": "assessment-objective", + "id": "CLD-06.2_CLD-06.2_A01", + "prose": "for Multi-Tenant Service Providers (MTSP), established security event logging capabilities for its customers are consistent with the customer's applicable statutory, regulatory and/or contractual obligations." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:a1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:a1.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:a1.2.1" + }, + { + "rel": "part-of", + "href": "#CLD-06" + } + ] + }, + { + "id": "CLD-06.3", + "title": "Multi-Tenant Forensics Capabilities", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure Multi-Tenant Service Providers (MTSP) facilitate prompt forensic investigations in the event of a suspected or confirmed security incident." + }, + { + "name": "assessment-objective", + "id": "CLD-06.3_CLD-06.3_A01", + "prose": "for Multi-Tenant Service Providers (MTSP), there is a capability to conduct prompt forensic investigations in the event of a suspected or confirmed security incident." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:a1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:a1.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:a1.2.2" + }, + { + "rel": "part-of", + "href": "#CLD-06" + } + ] + }, + { + "id": "CLD-06.4", + "title": "Multi-Tenant Incident Response Capabilities", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure Multi-Tenant Service Providers (MTSP) facilitate prompt response to suspected or confirmed security incidents and vulnerabilities, including timely notification to affected customers." + }, + { + "name": "assessment-objective", + "id": "CLD-06.4_CLD-06.4_A01", + "prose": "for Multi-Tenant Service Providers (MTSP), there is a capability to conduct prompt response to suspected or confirmed security incidents and vulnerabilities, including timely notification to affected customers." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:a1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:a1.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:a1.2.3" + }, + { + "rel": "part-of", + "href": "#CLD-06" + } + ] + }, + { + "id": "CLD-07", + "title": "Data Handling & Portability", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure cloud providers use secure protocols for the import, export and management of data in cloud-based Technology Assets, Applications and/or Services (TAAS)." + }, + { + "name": "assessment-objective", + "id": "CLD-07_CLD-07_A01", + "prose": "cloud providers use secure protocols for information/data exchange to support secure data portability." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:ipy-03" + } + ] + }, + { + "id": "CLD-08", + "title": "Standardized Virtualization Formats", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure interoperability by requiring cloud providers to use industry-recognized formats and provide documentation of custom changes for review." + }, + { + "name": "assessment-objective", + "id": "CLD-08_CLD-08_A01", + "prose": "cloud providers use industry-recognized formats to support secure interoperability." + }, + { + "name": "assessment-objective", + "id": "CLD-08_CLD-08_A02", + "prose": "cloud providers provide documentation of custom changes to virtualization formats for review by affected stakeholders." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + } + ] + }, + { + "id": "CLD-09", + "title": "Geolocation Requirements for Processing, Storage and Service Locations", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to control the location of cloud processing/storage based on business requirements that includes statutory, regulatory and contractual obligations." + }, + { + "name": "assessment-objective", + "id": "CLD-09_CLD-09_A01", + "prose": "locations where information processing and data storage is/are to be restricted are defined." + }, + { + "name": "assessment-objective", + "id": "CLD-09_CLD-09_A02", + "prose": "requirements or conditions for restricting the location of information processing, information storage or information services are defined." + }, + { + "name": "assessment-objective", + "id": "CLD-09_CLD-09_A03", + "prose": "based on requirements, information processing, information storage or information services is/are restricted to locations." + }, + { + "name": "assessment-objective", + "id": "CLD-09_CLD-09_A04", + "prose": "the geographic location of information processing and data storage is restricted to facilities located within the legal jurisdictional boundary of the United States." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dsp-19" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.23" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sa-9-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-09-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-09-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sa-09-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sa-09-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-09-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-09-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sa-9-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sa-9-5" + } + ] + }, + { + "id": "CLD-10", + "title": "Sensitive Data In Public Cloud Providers", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "CLD-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to limit and manage the storage of sensitive/regulated data in public cloud providers." + }, + { + "name": "assessment-objective", + "id": "CLD-10_CLD-10_A01", + "prose": "sensitive / regulated data in public cloud providers is identified and documented." + }, + { + "name": "assessment-objective", + "id": "CLD-10_CLD-10_A02", + "prose": "the storage of sensitive / regulated data in public cloud providers is controlled." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dsp-17" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.1.22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.22-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.22-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.22-c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.22-d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.22-e" + } + ] + }, + { + "id": "CLD-11", + "title": "Cloud Access Security Broker (CASB)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to utilize a Cloud Access Security Broker (CASB), or similar technology, to provide boundary protection and monitoring functions that both provide access to the cloud and protect the organization from misuse of cloud resources." + }, + { + "name": "assessment-objective", + "id": "CLD-11_CLD-11_A01", + "prose": "a Cloud Access Security Broker (CASB), or similar technology, is utilized to provide boundary protection and monitoring functions that both provide access to the cloud and protect the organization from the cloud." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:cls-12" + } + ] + }, + { + "id": "CLD-12", + "title": "Side Channel Attack Prevention", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to prevent \"side channel attacks\" when using a Content Delivery Network (CDN) by restricting access to the origin server's IP address to the CDN and an authorized management network." + }, + { + "name": "assessment-objective", + "id": "CLD-12_CLD-12_A01", + "prose": "Content Delivery Networks (CDNs) are configured to prevent side channel attacks by restricting access from the origin server's IP address to the CDN and authorized management networks." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:cls-02" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:cls-12" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.4.2" + } + ] + }, + { + "id": "CLD-13", + "title": "Hosted Assets, Applications & Services", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to specify applicable security, compliance and resilience that must be implemented on external Technology Assets, Applications and/or Services (TAAS), consistent with the contractual obligations established with the External Service Providers (ESP) owning, operating and/or maintaining external TAAS." + }, + { + "name": "assessment-objective", + "id": "CLD-13_CLD-13_A01", + "prose": "applicable cybersecurity & data protection controls are specified that must be implemented on external systems, consistent with the contractual obligations established with the External Service Providers (ESP) owning, operating and/or maintaining external systems, applications and/or services." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-1" + } + ] + }, + { + "id": "CLD-13.1", + "title": "Authorized Individuals For Hosted Assets, Applications & Services", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to authorize specified individuals to access External Service Providers (ESP) owned, operated and/or maintained external Technology Assets, Applications and/or Services (TAAS)." + }, + { + "name": "assessment-objective", + "id": "CLD-13.1_CLD-13.1_A01", + "prose": "specified individuals are authorized to access External Service Providers (ESP) owned, operated and/or maintained external systems, applications and/or services." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#CLD-13" + } + ] + }, + { + "id": "CLD-13.2", + "title": "Sensitive / Regulated Data On Hosted Assets, Applications & Services", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to define formal processes to store, process and/or transmit sensitive/regulated data using External Service Providers (ESP) owned, operated and/or maintained external Technology Assets, Applications and/or Services (TAAS), in accordance with all applicable statutory, regulatory and/or contractual obligations." + }, + { + "name": "assessment-objective", + "id": "CLD-13.2_CLD-13.2_A01", + "prose": "formal processes are defined to store, process and/or transmit sensitive / regulated data using External Service Providers (ESP) owned, operated and/or maintained external systems, applications and/or services , in accordance with all applicable statutory, regulatory and/or contractual obligations." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#CLD-13" + } + ] + }, + { + "id": "CLD-14", + "title": "Prohibition On Unverified Hosted Assets, Applications & Services", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to prohibit access to, or usage of, hosted Technology Assets, Applications and/or Services (TAAS) until applicable security, compliance and/or resilience control implementation is verified." + }, + { + "name": "assessment-objective", + "id": "CLD-14_CLD-14_A01", + "prose": "access to, or usage of, hosted systems, applications and/or services is prohibited until applicable cybersecurity & data protection control implementation is verified." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + } + ] + }, + { + "id": "CLD-15", + "title": "Software Defined Storage (SDS)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to utilize Software Defined Storage (SDS) to scale access management permissions to Technology Assets, Applications, Services and/or Data (TAASD)." + }, + { + "name": "assessment-objective", + "id": "CLD-15_CLD-15_A01", + "prose": "Software Defined Storage (SDS) is used to automatically scale access management permissions to Data, Assets, Applications & Services (DAAS)." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + } + ] + } + ] + }, + { + "id": "compliance", + "title": "Compliance", + "controls": [ + { + "id": "CPL-01", + "title": "Statutory, Regulatory & Contractual Compliance", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "CPL-01" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management", + "value": "3.5.3.9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.33", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.34", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.35", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.36", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.37", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.38", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.39", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.40", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to facilitate the identification and implementation of relevant statutory, regulatory and contractual controls." + }, + { + "name": "assessment-objective", + "id": "CPL-01_CPL-01_A01", + "prose": "the organization analyzes its business practices to determine applicable statutory, regulatory and/or contractual obligations." + }, + { + "name": "assessment-objective", + "id": "CPL-01_CPL-01_A02", + "prose": "compliance management operations are conducted according to documented policies, standards, procedures and/or other organizational directives." + }, + { + "name": "assessment-objective", + "id": "CPL-01_CPL-01_A03", + "prose": "adequate resources (e.g., people, processes, technologies, data and/or facilities) are provided to support compliance management operations." + }, + { + "name": "assessment-objective", + "id": "CPL-01_CPL-01_A04", + "prose": "responsibility and authority for the performance of compliance management-related activities are assigned to designated personnel." + }, + { + "name": "assessment-objective", + "id": "CPL-01_CPL-01_A05", + "prose": "personnel performing compliance management-related activities have the skills and knowledge needed to perform their assigned duties." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:mea03.01" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_14" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_15" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:a-a-04" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:grc-07" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:cls-04" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:gvn-02" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:gvn-04" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:lgl-01" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:lgl-03" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:lgl-04" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:lgl-05" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:lgl-06" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:lgl-07" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:lgl-08" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:opa-05" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_4.2.2-a" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_4.2.2-b" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_4.2.2-c" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_4.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_9.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_9.2.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_9.2.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.31" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.34" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_18.1.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.1-b" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.31" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_6.3-b" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.34" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_4.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_4.2-a" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_4.2-b" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_4.2-c" + }, + { + "rel": "mapped-to", + "href": "#iso-29100-2024:_6.12" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_4.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-1.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:govern-1.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-1.1-001" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mg-4.3-003" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:gv.po-p5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:pl-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:pm-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pl-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pm-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pl-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pm-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:pl-01" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.314-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pl-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pm-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pl-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pm-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pl-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pm-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pl-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pm-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pl-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pm-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:pl-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:pm-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:pl-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:nfo-pl-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.11.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.12.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:po.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:po.1.2" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.oc" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.oc-03" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-05" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:a3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:a3.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.4.2" + } + ] + }, + { + "id": "CPL-01.1", + "title": "Non-Compliance Oversight", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "CPL-01.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to document and review instances of non-compliance with statutory, regulatory and/or contractual obligations to develop appropriate risk mitigation actions." + }, + { + "name": "assessment-objective", + "id": "CPL-01.1_CPL-01.1_A01", + "prose": "instances of non-compliance with statutory, regulatory and/or contractual obligations are documented, including the reason(s) for non-compliance." + }, + { + "name": "assessment-objective", + "id": "CPL-01.1_CPL-01.1_A02", + "prose": "instances of non-compliance with statutory, regulatory and/or contractual obligations are formally-reviewed." + }, + { + "name": "assessment-objective", + "id": "CPL-01.1_CPL-01.1_A03", + "prose": "instances of non-compliance with statutory, regulatory and/or contractual obligations are centrally-governed to maintain appropriate situational awareness." + }, + { + "name": "assessment-objective", + "id": "CPL-01.1_CPL-01.1_A04", + "prose": "instances of non-compliance with statutory, regulatory and/or contractual obligations are assigned to individuals or teams for remediation." + }, + { + "name": "assessment-objective", + "id": "CPL-01.1_CPL-01.1_A05", + "prose": "remediation plans for instances of non-compliance with statutory, regulatory and/or contractual obligations are documented." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:respond" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:mea01.02" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:mea01.05" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:mea02.04" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_17" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:a-a-05" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:a-a-06" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:gvn-04" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_10.1.1" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_10.1.2" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_10.1.2-a" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_10.1.2-a-1" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_10.1.2-a-2" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_10.1.2-b" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_10.1.2-b-1" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_10.1.2-b-2" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_10.1.2-b-3" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_10.1.2-c" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_10.1.2-d" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_10.1.2-e" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_10.1.3" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_10.1.3-a" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_10.1.3-b" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_9.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_9.1-a" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_9.1-b" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_9.1-c" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_9.1-d" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_9.1-e" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_9.1-f" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_10.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_10.2-a" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_10.2-a-1" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_10.2-a-2" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_10.2-b" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_10.2-b-1" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_10.2-b-2" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_10.2-b-3" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_10.2-c" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_10.2-d" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_10.2-e" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_10.2-f" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_10.2-g" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_10.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_10.2-a" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_10.2-b" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_10.2-c" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_10.2-d" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_10.2-e" + }, + { + "rel": "mapped-to", + "href": "#iso-29100-2024:_6.12" + }, + { + "rel": "mapped-to", + "href": "#iso-31010-2009:_4.3.6" + }, + { + "rel": "mapped-to", + "href": "#iso-31010-2009:_5.6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.12.02.a.01" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.4.2" + }, + { + "rel": "part-of", + "href": "#CPL-01" + } + ] + }, + { + "id": "CPL-01.2", + "title": "Compliance Scope", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "CPL-01.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to document and validate the scope of security, compliance and resilience controls that are determined to meet statutory, regulatory and/or contractual compliance obligations." + }, + { + "name": "assessment-objective", + "id": "CPL-01.2_CPL-01.2_A01", + "prose": "the organization's applicable cybersecurity / data privacy controls are determined through the analysis of business practices to determine required statutory, regulatory and/or contractual compliance obligations." + }, + { + "name": "assessment-objective", + "id": "CPL-01.2_CPL-01.2_A02", + "prose": "a recurring process exists to validate the scope of cybersecurity / data privacy controls that are determined to meet statutory, regulatory and/or contractual compliance obligations." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:mea04.04" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:grc-07" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:log-07" + }, + { + "rel": "mapped-to", + "href": "#iec-tr-60601-4-5-2021:_4.1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sm-5" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_4.3.1" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_4.3.1-a" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_4.3.1-b" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_4.3.1-c" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_4.3.2" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_4.3.2-a" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_4.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_4.3-a" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_4.3-b" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_4.3-c" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_9.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_4.3" + }, + { + "rel": "mapped-to", + "href": "#iso-29100-2024:_6.12" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_4.3" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-1.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-1.3" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:map-3.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-37-r2:task-p-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.11.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.15.02.a.04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.11.5e" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.14.3e" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:po.1" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-05" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.5.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:a3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:a3.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:a3.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.5.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.5.2" + }, + { + "rel": "part-of", + "href": "#CPL-01" + } + ] + }, + { + "id": "CPL-01.3", + "title": "Ability To Demonstrate Conformity", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure the organization is able to demonstrate security, compliance and/or resilience capability conformity with applicable cybersecurity and data protection laws, regulations and/or contractual obligations." + }, + { + "name": "assessment-objective", + "id": "CPL-01.3_CPL-01.3_A01", + "prose": "a capability exists to demonstrate conformity with applicable cybersecurity and data protection laws, regulations and/or contractual obligations." + }, + { + "name": "assessment-objective", + "id": "CPL-01.3_CPL-01.3_A02", + "prose": "personnel or roles to whom the assignment of being able to demonstrate conformity is assigned." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:mea01.02" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:mea03.03" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rc-05-16" + }, + { + "rel": "mapped-to", + "href": "#iso-29100-2024:_6.12" + }, + { + "rel": "part-of", + "href": "#CPL-01" + } + ] + }, + { + "id": "CPL-01.4", + "title": "Conformity Assessment", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.33", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.34", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.35", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.36", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.37", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.38", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.39", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.40", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to conduct assessments to demonstrate security, compliance and/or resilience capability conformity with applicable cybersecurity and data protection laws, regulations and/or contractual obligations." + }, + { + "name": "assessment-objective", + "id": "CPL-01.4_CPL-01.4_A01", + "prose": "assessments are conducted to demonstrate conformity with applicable cybersecurity and data protection laws, regulations and/or contractual obligations." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:mea02.03" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:mea03.04" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_18.2.3" + }, + { + "rel": "mapped-to", + "href": "#iso-29100-2024:_6.12" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mp-3.4-003" + }, + { + "rel": "part-of", + "href": "#CPL-01" + } + ] + }, + { + "id": "CPL-01.5", + "title": "Declaration of Conformity", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to generate a declaration of conformity for each conformity assessment, where the document:\r\n(1) Is concise;\r\n(2) Unambiguously reflects the current status;\r\n(3) Is physically or electronically signed; and\r\n(4) Where possible, is machine readable." + }, + { + "name": "assessment-objective", + "id": "CPL-01.5_CPL-01.5_A01", + "prose": "a declaration of conformity is generated for each conformity assessment." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:mea03.04" + }, + { + "rel": "part-of", + "href": "#CPL-01" + } + ] + }, + { + "id": "CPL-01.6", + "title": "Assessment Team Subject Matter Expertise", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure individuals performing audits and/or assessments have reasonable:\r\n(1) Professional qualifications to perform the audit and/or assessment; and\r\n(2) Subject matter expertise to perform review, interview and test activities for in-scope People, Processes, Technologies, Data and/or Facilities (PPTDF)." + }, + { + "name": "assessment-objective", + "id": "CPL-01.6_CPL-01.6_A01", + "prose": "based on the scope of an audit/assessment, necessary subject matter expertise is defined to perform review, interview and/or test activities for in-scope People, Processes, Technologies, Data and/or Facilities (PPTDF)." + }, + { + "name": "assessment-objective", + "id": "CPL-01.6_CPL-01.6_A02", + "prose": "minimum professional qualifications to participate in an audit and/or assessment are defined." + }, + { + "name": "assessment-objective", + "id": "CPL-01.6_CPL-01.6_A03", + "prose": "auditors/assessors are evaluated for necessary subject matter expertise to perform an audit/assessment." + }, + { + "name": "assessment-objective", + "id": "CPL-01.6_CPL-01.6_A04", + "prose": "auditors/assessors are required to have minimum professional qualifications to participate in an audit/assessment." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#CPL-01" + } + ] + }, + { + "id": "CPL-01.7", + "title": "Designated Certifying Official", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to designate an individual the authority to make statements of conformity on behalf of the organization." + }, + { + "name": "assessment-objective", + "id": "CPL-01.7_CPL-01.7_A01", + "prose": "a designate an individual is assigned authority to make statements of conformity on behalf of the organization." + }, + { + "name": "assessment-objective", + "id": "CPL-01.7_CPL-01.7_A02", + "prose": "the designated individual is provided formal guidance on the limitations of statements of conformity that can be made on behalf of the organization." + }, + { + "name": "overview", + "class": "errata", + "prose": "- new control (SOX)" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "part-of", + "href": "#CPL-01" + } + ] + }, + { + "id": "CPL-01.8", + "title": "Conformity Attestations", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist for the certifying official to attest to the accuracy of conformity attestations, based on applicable laws, regulations and/or contractual criteria." + }, + { + "name": "assessment-objective", + "id": "CPL-01.8_CPL-01.8_A01", + "prose": "the process for the certifying official to attest to the accuracy of conformity attestations is defined." + }, + { + "name": "assessment-objective", + "id": "CPL-01.8_CPL-01.8_A02", + "prose": "the certifying official attests to the accuracy of conformity attestations, based on applicable laws, regulations and/or contractual criteria." + }, + { + "name": "overview", + "class": "errata", + "prose": "- new control (SOX)" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "part-of", + "href": "#CPL-01" + } + ] + }, + { + "id": "CPL-02", + "title": "Security, Compliance & Resilience Controls Oversight", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "CPL-02" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management", + "value": "3.5.3.9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to provide a security, compliance and resilience controls oversight function that reports to the organization's executive leadership." + }, + { + "name": "assessment-objective", + "id": "CPL-02_CPL-02_A01", + "prose": "a compliance catalog of applicable laws, regulations and contractual obligations are documented." + }, + { + "name": "assessment-objective", + "id": "CPL-02_CPL-02_A02", + "prose": "a continuous monitoring strategy is developed for cybersecurity / data privacy controls." + }, + { + "name": "assessment-objective", + "id": "CPL-02_CPL-02_A03", + "prose": "continuous control monitoring is implemented in accordance with the organization's continuous monitoring strategy." + }, + { + "name": "assessment-objective", + "id": "CPL-02_CPL-02_A04", + "prose": "the frequency of cybersecurity / data privacy control assessments is defined." + }, + { + "name": "assessment-objective", + "id": "CPL-02_CPL-02_A05", + "prose": "cybersecurity / data privacy controls are assessed with the defined frequency to determine if the controls are effective in their application." + }, + { + "name": "assessment-objective", + "id": "CPL-02_CPL-02_A06", + "prose": "cybersecurity / data privacy controls are monitored on an ongoing basis to ensure the continued effectiveness of those controls." + }, + { + "name": "assessment-objective", + "id": "CPL-02_CPL-02_A07", + "prose": "personnel or roles to whom the cybersecurity / data privacy status of the system is reported are defined." + }, + { + "name": "assessment-objective", + "id": "CPL-02_CPL-02_A08", + "prose": "the frequency at which the cybersecurity / data privacy status of the system is reported is defined." + }, + { + "name": "assessment-objective", + "id": "CPL-02_CPL-02_A09", + "prose": "system-level continuous monitoring includes reporting the cybersecurity / data privacy status of the system to pertinent personnel or roles according to an organization-defined frequency." + }, + { + "name": "assessment-objective", + "id": "CPL-02_CPL-02_A10", + "prose": "control monitoring metrics are defined." + }, + { + "name": "assessment-objective", + "id": "CPL-02_CPL-02_A11", + "prose": "system-level continuous monitoring includes ongoing monitoring of system and organization-defined metrics in accordance with the continuous monitoring strategy." + }, + { + "name": "assessment-objective", + "id": "CPL-02_CPL-02_A12", + "prose": "system-level continuous monitoring includes correlation and analysis of information generated by control assessments and monitoring." + }, + { + "name": "assessment-objective", + "id": "CPL-02_CPL-02_A13", + "prose": "system-level continuous monitoring includes response actions to address the results of the analysis of control assessment and monitoring information." + }, + { + "name": "assessment-objective", + "id": "CPL-02_CPL-02_A14", + "prose": "the personnel or roles for reporting the security status of organizational systems to is/are defined." + }, + { + "name": "assessment-objective", + "id": "CPL-02_CPL-02_A15", + "prose": "the personnel or roles for reporting the privacy status of organizational systems to is/are defined." + }, + { + "name": "assessment-objective", + "id": "CPL-02_CPL-02_A16", + "prose": "the frequency at which to report the security status of organizational systems is defined." + }, + { + "name": "assessment-objective", + "id": "CPL-02_CPL-02_A17", + "prose": "the frequency at which to report the privacy status of organizational systems is defined." + }, + { + "name": "assessment-objective", + "id": "CPL-02_CPL-02_A18", + "prose": "an organization-wide continuous monitoring strategy is developed." + }, + { + "name": "assessment-objective", + "id": "CPL-02_CPL-02_A19", + "prose": "continuous monitoring programs are implemented that include establishing metrics to be monitored." + }, + { + "name": "assessment-objective", + "id": "CPL-02_CPL-02_A20", + "prose": "continuous monitoring programs are implemented that establish frequency for monitoring." + }, + { + "name": "assessment-objective", + "id": "CPL-02_CPL-02_A21", + "prose": "continuous monitoring programs are implemented that establish frequency for assessment of control effectiveness." + }, + { + "name": "assessment-objective", + "id": "CPL-02_CPL-02_A22", + "prose": "continuous monitoring programs are implemented that include monitoring metrics on an ongoing basis in accordance with the continuous monitoring strategy." + }, + { + "name": "assessment-objective", + "id": "CPL-02_CPL-02_A23", + "prose": "continuous monitoring programs are implemented that include correlating information generated by control assessments and monitoring." + }, + { + "name": "assessment-objective", + "id": "CPL-02_CPL-02_A24", + "prose": "continuous monitoring programs are implemented that include analyzing information generated by control assessments and monitoring." + }, + { + "name": "assessment-objective", + "id": "CPL-02_CPL-02_A25", + "prose": "continuous monitoring programs are implemented that include response actions to address the analysis of control assessment information." + }, + { + "name": "assessment-objective", + "id": "CPL-02_CPL-02_A26", + "prose": "continuous monitoring programs are implemented that include response actions to address the analysis of monitoring information." + }, + { + "name": "assessment-objective", + "id": "CPL-02_CPL-02_A27", + "prose": "continuous monitoring programs are implemented that include reporting the security status of organizational systems to personnel or roles frequency." + }, + { + "name": "assessment-objective", + "id": "CPL-02_CPL-02_A28", + "prose": "continuous monitoring programs are implemented that include reporting the privacy status of organizational systems to personnel or roles frequency." + }, + { + "name": "assessment-objective", + "id": "CPL-02_CPL-02_A29", + "prose": "a system-level continuous monitoring strategy is developed." + }, + { + "name": "assessment-objective", + "id": "CPL-02_CPL-02_A30", + "prose": "ongoing monitoring is included in the continuous monitoring strategy." + }, + { + "name": "assessment-objective", + "id": "CPL-02_CPL-02_A31", + "prose": "security assessments are included in the continuous monitoring strategy." + }, + { + "name": "overview", + "class": "errata", + "prose": "- renamed\r\n- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:mea02.01" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:mea02.02" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:mea04.02" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_1" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_14" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_15" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:a-a-02" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:a-a-05" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:cek-09" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:gvn-04" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:lgl-03" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-05-17" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_8.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_10.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.31" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.36" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_6.8" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.8" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.34" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_12.7.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_18.2.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.31" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.36" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_6.8" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.8" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.34" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_9.2.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_9.2.2-a" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_9.2.2-b" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_9.2.2-c" + }, + { + "rel": "mapped-to", + "href": "#iso-29100-2024:_6.12" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_6.6" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-1.5" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:gv.mt-p4" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:pr.po-p5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-37-r2:task-p-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-39:task-4-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ca-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ca-7-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:pm-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ca-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ca-07-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pm-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ca-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ca-07-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pm-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ca-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:ca-07-01" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.316-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ca-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ca-07-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pm-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ca-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pm-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ca-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pm-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ca-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pm-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ca-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pm-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:pm-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:pm-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.12.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.12.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.12.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.12.03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.12.1-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.12.1-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.12.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.12.03-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.12.03-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.12.03-04" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.oc-03" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.7.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.7.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.7.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.7.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.7.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.7.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.7.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.7.3" + } + ] + }, + { + "id": "CPL-02.1", + "title": "Internal Audit Function", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "CPL-02.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to implement an internal audit function that is capable of providing senior organization management with insights into the appropriateness of the organization's technology and information governance processes." + }, + { + "name": "assessment-objective", + "id": "CPL-02.1_CPL-02.1_A01", + "prose": "an internal audit function exists that is comprised of stakeholders who have the subject matter expertise to serve in an advisory capability on audit-related matters." + }, + { + "name": "assessment-objective", + "id": "CPL-02.1_CPL-02.1_A02", + "prose": "an internal audit function formally defines audit-related priorities for the organization." + }, + { + "name": "assessment-objective", + "id": "CPL-02.1_CPL-02.1_A03", + "prose": "an internal audit function tracks audit findings that require remediation efforts." + }, + { + "name": "assessment-objective", + "id": "CPL-02.1_CPL-02.1_A04", + "prose": "an internal audit function provides the organization's executive leadership with insights into the appropriateness of the organization's technology and information governance processes." + }, + { + "name": "assessment-objective", + "id": "CPL-02.1_CPL-02.1_A05", + "prose": "the frequency at which to assess the security requirements for the system and its environment of operation is defined." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo02.04" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:mea02.01" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:mea02.02" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:mea04.02" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:a-a-05" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:cek-09" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:gvn-04" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_9.2.1" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_9.2.1-a" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_9.2.1-a-1" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_9.2.1-a-2" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_9.2.1-b" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_9.2.2" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_9.2.2-a" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_9.2.2-b" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_9.2.2-c" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_9.2.2-d" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_9.2.2-e" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_9.2.2-f" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_9.2.2-g" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_9.2.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_9.2.1-a-1" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_9.2.1-a-2" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_9.2.1-b" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_9.2.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_9.2.2-a" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_9.2.2-b" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_9.2.2-c" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.35" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.34" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_12.7.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_18.2.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.35" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.34" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_9.2.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_9.2.1-a" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_9.2.1-b" + }, + { + "rel": "mapped-to", + "href": "#iso-29100-2024:_6.12" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_9.2.1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_9.2.1-a" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_9.2.1-a-1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_9.2.1-a-2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_9.2.1-b" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_9.2.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_9.2.2-a" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_9.2.2-b" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_9.2.2-c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.12.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.12.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.12.01.odp-01" + }, + { + "rel": "part-of", + "href": "#CPL-02" + } + ] + }, + { + "id": "CPL-02.2", + "title": "Periodic Audits", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to conduct periodic audits of security, compliance and resilience controls to evaluate conformity with the organization's documented policies, standards and procedures." + }, + { + "name": "assessment-objective", + "id": "CPL-02.2_CPL-02.2_A01", + "prose": "the organization conducts periodic, formal audits of cybersecurity & data protection controls for conformity with the organization's policies, standards and procedures." + }, + { + "name": "assessment-objective", + "id": "CPL-02.2_CPL-02.2_A02", + "prose": "personnel or roles to whom the assignment conformity assessments are assigned." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:mea02.04" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:a-a-02" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-05-17" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_9.2.2" + }, + { + "rel": "mapped-to", + "href": "#iso-29100-2024:_6.12" + }, + { + "rel": "part-of", + "href": "#CPL-02" + } + ] + }, + { + "id": "CPL-02.3", + "title": "Corrective Action", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to take corrective action to remediate instances of non-conformity with applicable statutory, regulatory, and/or contractual compliance obligations." + }, + { + "name": "assessment-objective", + "id": "CPL-02.3_CPL-02.3_A01", + "prose": "corrective action is taken to remediate instances of non-conformity with applicable statutory, regulatory, and/or contractual compliance obligations." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#iso-29100-2024:_6.12" + }, + { + "rel": "part-of", + "href": "#CPL-02" + } + ] + }, + { + "id": "CPL-03", + "title": "Security, Compliance & Resilience Assessments", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "CPL-03" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management", + "value": "3.5.3.9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to regularly review processes and documented procedures to ensure conformity with the organization's security, compliance and/or resilience policies, standards and other applicable requirements." + }, + { + "name": "assessment-objective", + "id": "CPL-03_CPL-03_A01", + "prose": "the frequency at which to assess controls in the system and its environment of operation is defined." + }, + { + "name": "assessment-objective", + "id": "CPL-03_CPL-03_A02", + "prose": "an appropriate assessor or assessment team is selected for the type of assessment to be conducted." + }, + { + "name": "assessment-objective", + "id": "CPL-03_CPL-03_A03", + "prose": "the security requirements for the system and its environment of operation are assessed per an organization-defined frequency to determine if the requirements have been satisfied." + }, + { + "name": "assessment-objective", + "id": "CPL-03_CPL-03_A04", + "prose": "individuals or roles to whom control assessment results are to be provided are defined." + }, + { + "name": "assessment-objective", + "id": "CPL-03_CPL-03_A05", + "prose": "a control assessment plan is developed that describes the scope of the assessment, including controls and control enhancements under assessment." + }, + { + "name": "assessment-objective", + "id": "CPL-03_CPL-03_A06", + "prose": "a control assessment plan is developed that describes the scope of the assessment, including assessment procedures to be used to determine control effectiveness." + }, + { + "name": "assessment-objective", + "id": "CPL-03_CPL-03_A07", + "prose": "a control assessment plan is developed that describes the scope of the assessment, including the assessment environment." + }, + { + "name": "assessment-objective", + "id": "CPL-03_CPL-03_A08", + "prose": "a control assessment plan is developed that describes the scope of the assessment, including the assessment team." + }, + { + "name": "assessment-objective", + "id": "CPL-03_CPL-03_A09", + "prose": "a control assessment plan is developed that describes the scope of the assessment, including assessment roles and responsibilities." + }, + { + "name": "assessment-objective", + "id": "CPL-03_CPL-03_A10", + "prose": "the control assessment plan is reviewed and approved by the authorizing official or designated representative prior to conducting the assessment." + }, + { + "name": "assessment-objective", + "id": "CPL-03_CPL-03_A11", + "prose": "the security requirements for the system and its environment of operation are assessed to determine if the requirements have been satisfied." + }, + { + "name": "overview", + "class": "errata", + "prose": "- renamed\r\n- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:mea02.01" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:mea02.02" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_16" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:a-a-02" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:a-a-03" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:a-a-05" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:cek-09" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:gvn-04" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_8.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_9.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_9.1-a" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_9.1-b" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_9.1-c" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_9.1-d" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_9.1-e" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_9.1-f" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.35" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.36" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.34" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_18.2.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_18.2.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.35" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.35-a" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.36" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.34" + }, + { + "rel": "mapped-to", + "href": "#iso-31010-2009:_5.3.2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-1.5" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:id.de-p5" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:ct.dm-p9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ca-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ca-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ca-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ca-02" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.316-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ca-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ca-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ca-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ca-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ca-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:ca-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ca-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ca-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.12.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.12.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.12.03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.12.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.11.5e" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.im-01" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.im-02" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.7.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.7.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.7.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.7.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.7.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.7.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.7.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.7.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.4.2" + } + ] + }, + { + "id": "CPL-03.1", + "title": "Independent Assessors", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to utilize independent assessors to evaluate security, compliance and resilience at planned intervals or when the Technology Asset, Application and/or Service (TAAS) undergoes significant changes." + }, + { + "name": "assessment-objective", + "id": "CPL-03.1_CPL-03.1_A01", + "prose": "independent assessors or assessment teams are employed to monitor in-scope controls on an ongoing basis." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:mea04.01" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:a-a-02" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:a-a-05" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:cek-09" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.35" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_18.2.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.35" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_9.2.2-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ca-7-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ca-07-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ca-07-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:ca-07-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ca-07-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ca-07-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ca-07-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:nfo-ca-7-1" + }, + { + "rel": "part-of", + "href": "#CPL-03" + } + ] + }, + { + "id": "CPL-03.2", + "title": "Functional Review Of Security, Compliance & Resilience Controls", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "CPL-03.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to regularly review Technology Assets, Applications and/or Services (TAAS) for adherence to the organization's security, compliance and/or resilience policies and standards." + }, + { + "name": "assessment-objective", + "id": "CPL-03.2_CPL-03.2_A01", + "prose": "controls are assessed in the system and its environment of operation per an organization-defined assessment frequency to determine the extent to which the controls are implemented correctly, operating as intended and producing the desired outcome with respect to meeting established security requirements." + }, + { + "name": "assessment-objective", + "id": "CPL-03.2_CPL-03.2_A02", + "prose": "a control assessment report is produced that documents the results of the assessment." + }, + { + "name": "assessment-objective", + "id": "CPL-03.2_CPL-03.2_A03", + "prose": "controls are assessed in the system and its environment of operation per an organization-defined assessment frequency to determine the extent to which the controls are implemented correctly, operating as intended and producing the desired outcome with respect to meeting established privacy requirements." + }, + { + "name": "assessment-objective", + "id": "CPL-03.2_CPL-03.2_A04", + "prose": "the results of the control assessment are provided to individuals or roles." + }, + { + "name": "assessment-objective", + "id": "CPL-03.2_CPL-03.2_A05", + "prose": "a system-level continuous monitoring strategy is implemented." + }, + { + "name": "overview", + "class": "errata", + "prose": "- renamed\r\n- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:mea02.01" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:mea02.02" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_16" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:a-a-05" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:cek-09" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:gvn-04" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.35" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.36" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.8" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_18.2.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_18.2.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_18.2.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.35" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.36" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.8" + }, + { + "rel": "mapped-to", + "href": "#iso-31010-2009:_5.3.2" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:ct.dm-p9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ca-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ra-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ca-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ra-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ca-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ra-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ca-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ra-03" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.308-a-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ca-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ra-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ca-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ra-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ca-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ra-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ca-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ra-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ca-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ra-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:ca-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:ra-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:ra-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ca-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ra-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ca-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ra-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.08.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.12.03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.12.03-02" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.im-01" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.im-02" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.2.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.7.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.7.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.7.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.2.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.2.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.7.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.7.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.2.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.7.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.7.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.7.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.4.2" + }, + { + "rel": "part-of", + "href": "#CPL-03" + } + ] + }, + { + "id": "CPL-03.3", + "title": "Assessor Access", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to grant assessors minimum necessary access to conduct conformity assessments, including:\r\n(1) Logical access to design, development, production, inspection and testing artifacts; and \r\n(2) Physical access to facilities." + }, + { + "name": "assessment-objective", + "id": "CPL-03.3_CPL-03.3_A01", + "prose": "assessors are granted the minimum logical access authorizations necessary to conduct conformity assessments." + }, + { + "name": "assessment-objective", + "id": "CPL-03.3_CPL-03.3_A02", + "prose": "assessors are granted the minimum physical access authorizations necessary to conduct conformity assessments." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "part-of", + "href": "#CPL-03" + } + ] + }, + { + "id": "CPL-03.4", + "title": "Assessment Methods", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to define acceptable methods to conduct a cybersecurity and/or data protection assessment." + }, + { + "name": "assessment-objective", + "id": "CPL-03.4_CPL-03.4_A01", + "prose": "acceptable methods to conduct a cybersecurity and/or data protection assessment are defined." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "part-of", + "href": "#CPL-03" + } + ] + }, + { + "id": "CPL-03.5", + "title": "Assessment Rigor", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to define the level of assessment rigor necessary to conduct a cybersecurity and/or data protection assessment." + }, + { + "name": "assessment-objective", + "id": "CPL-03.5_CPL-03.5_A01", + "prose": "the level of assessment rigor necessary to conduct a cybersecurity and/or data protection assessment is defined." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "part-of", + "href": "#CPL-03" + } + ] + }, + { + "id": "CPL-03.6", + "title": "Evidence Request List (ERL)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to define an Evidence Request List (ERL) prior to the start of a cybersecurity and/or data protection assessment." + }, + { + "name": "assessment-objective", + "id": "CPL-03.6_CPL-03.6_A01", + "prose": "an Evidence Request List (ERL) prior to the start of a cybersecurity and/or data protection assessment is defined." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "part-of", + "href": "#CPL-03" + } + ] + }, + { + "id": "CPL-03.7", + "title": "Evidence Sampling", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to define evidence sampling criteria for cybersecurity and/or data protection assessments." + }, + { + "name": "assessment-objective", + "id": "CPL-03.7_CPL-03.7_A01", + "prose": "evidence sampling criteria for cybersecurity and/or data protection assessments are defined." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "part-of", + "href": "#CPL-03" + } + ] + }, + { + "id": "CPL-04", + "title": "Audit Activities", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to thoughtfully plan audits by including input from operational risk and compliance partners to minimize the impact of audit-related activities on business operations." + }, + { + "name": "assessment-objective", + "id": "CPL-04_CPL-04_A01", + "prose": "an internal audit function formally defines audit-related priorities for the organization." + }, + { + "name": "assessment-objective", + "id": "CPL-04_CPL-04_A02", + "prose": "audits are thoughtfully planned to minimize the impact of audit-related activities on business operations." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_16" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:a-a-05" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.35" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.34" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_12.7.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_18.2.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.35" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.34" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-1.5" + } + ] + }, + { + "id": "CPL-05", + "title": "Legal Assessment of Investigative Inquires", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to determine whether a government agency has an applicable and valid legal basis to request data from the organization and what further steps need to be taken, if necessary." + }, + { + "name": "assessment-objective", + "id": "CPL-05_CPL-05_A01", + "prose": "a formal process exists to intake requests, document the request and determine whether a government agency has an applicable and valid legal basis to request data from the organization." + }, + { + "name": "assessment-objective", + "id": "CPL-05_CPL-05_A02", + "prose": "based on an applicable and valid legal basis for a data request by a government agency, data request fulfillment actions are formally assigned to an individual or group with explicitly-specified criteria to minimize inappropriate data sharing." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:respond" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dsp-18" + } + ] + }, + { + "id": "CPL-05.1", + "title": "Investigation Request Notifications", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to notify customers about investigation request notifications, unless the applicable legal basis for a government agency's action prohibits notification (e.g., potential criminal prosecution)." + }, + { + "name": "assessment-objective", + "id": "CPL-05.1_CPL-05.1_A01", + "prose": "a formal process exists to intake and document government investigation requests." + }, + { + "name": "assessment-objective", + "id": "CPL-05.1_CPL-05.1_A02", + "prose": "a formal process exists to evaluate government investigation requests for legal requirements the organization must comply with." + }, + { + "name": "assessment-objective", + "id": "CPL-05.1_CPL-05.1_A03", + "prose": "processes exist to notify affected customer(s) about investigation requests, unless the applicable legal basis for a government agency's action prohibits notification (e.g., potential criminal prosecution)." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:respond" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dsp-18" + }, + { + "rel": "part-of", + "href": "#CPL-05" + } + ] + }, + { + "id": "CPL-05.2", + "title": "Investigation Access Restrictions", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to support official investigations by provisioning government investigators with \"least privileges\" and \"least functionality\" to ensure that government investigators only have access to the Technology Assets, Applications, Services and/or Data (TAASD) needed to perform the investigation." + }, + { + "name": "assessment-objective", + "id": "CPL-05.2_CPL-05.2_A01", + "prose": "a formal process exists to intake and document government access requests." + }, + { + "name": "assessment-objective", + "id": "CPL-05.2_CPL-05.2_A02", + "prose": "a formal process exists to evaluate government access requests for legal requirements the organization must comply with." + }, + { + "name": "assessment-objective", + "id": "CPL-05.2_CPL-05.2_A03", + "prose": "the organization supports official investigations by provisioning government investigators with \"least privileges\" and \"least functionality\" to ensure that government investigators only have access to the data and systems needed to perform the investigation." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dsp-18" + }, + { + "rel": "part-of", + "href": "#CPL-05" + } + ] + }, + { + "id": "CPL-06", + "title": "Government Surveillance", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to constrain the host government from having unrestricted and non-monitored access to the organization's Technology Assets, Applications, Services and/or Data (TAASD) that could potentially violate other applicable statutory, regulatory and/or contractual obligations." + }, + { + "name": "assessment-objective", + "id": "CPL-06_CPL-06_A01", + "prose": "a formal process exists to intake and document access requests from host governments for unrestricted and non-monitored access to the organization's systems, applications and services that could potentially violate other applicable statutory, regulatory and/or contractual obligations." + }, + { + "name": "assessment-objective", + "id": "CPL-06_CPL-06_A02", + "prose": "executive leadership, along with legal counsel, formally identifies risks associated with non-compliance (e.g., fines, operational impacts, etc.)." + }, + { + "name": "assessment-objective", + "id": "CPL-06_CPL-06_A03", + "prose": "executive leadership, along with legal counsel, formally identifies primary risks associated with compliance (e.g., loss of confidentiality and/or integrity considerations with data governance)." + }, + { + "name": "assessment-objective", + "id": "CPL-06_CPL-06_A04", + "prose": "executive leadership, along with legal counsel, formally identifies secondary risks associated with compliance (e.g., non-compliance with other laws, regulations and contractual agreements)." + }, + { + "name": "assessment-objective", + "id": "CPL-06_CPL-06_A05", + "prose": "executive leadership, along with legal counsel, formally identifies tertiary risks associated with compliance (e.g., human rights abuses, theft of intellectual property, espionage, etc.)." + }, + { + "name": "assessment-objective", + "id": "CPL-06_CPL-06_A06", + "prose": "executive leadership, along with legal counsel, formally adopts an action plan to respond to host government requests for unrestricted and non-monitored access to the organization's systems, applications and services that could potentially violate other applicable statutory, regulatory and/or contractual obligations." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + } + ] + }, + { + "id": "CPL-07", + "title": "Grievances", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to govern the intake and analysis of grievances related to the organization's cybersecurity and/or data protection practices." + }, + { + "name": "assessment-objective", + "id": "CPL-07_CPL-07_A01", + "prose": "an intake mechanism exists to receive grievances related to the organization's cybersecurity and/or data protection practices." + }, + { + "name": "assessment-objective", + "id": "CPL-07_CPL-07_A02", + "prose": "received grievances are assigned to specific roles to investigate the legitimacy of the complaint." + }, + { + "name": "assessment-objective", + "id": "CPL-07_CPL-07_A03", + "prose": "the analysis of received grievances is documented." + }, + { + "name": "assessment-objective", + "id": "CPL-07_CPL-07_A04", + "prose": "upon validation of a grievance from a data subject, a process assigns the remediation task to an individual, or team." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:respond" + } + ] + }, + { + "id": "CPL-07.1", + "title": "Grievance Response", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to respond to legitimate grievances related to the organization's cybersecurity and/or data protection practices." + }, + { + "name": "assessment-objective", + "id": "CPL-07.1_CPL-07.1_A01", + "prose": "a response mechanism exists to respond to legitimate grievances related to the organization's cybersecurity and/or data protection practices." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:respond" + }, + { + "rel": "part-of", + "href": "#CPL-07" + } + ] + }, + { + "id": "CPL-08", + "title": "Localized Representation", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.33", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.34", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.35", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.36", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.37", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.38", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.39", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.40", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to appoint localized representation with a physical presence in localities, as required by applicable laws and/or regulations." + }, + { + "name": "assessment-objective", + "id": "CPL-08_CPL-08_A01", + "prose": "localized representation with a physical presence in localities is appointed to represent the organization, as required by applicable laws and/or regulations." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + } + ] + }, + { + "id": "CPL-08.1", + "title": "Representative Powers", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.33", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.34", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.35", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.36", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.37", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.38", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.39", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.40", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to contract localized representation to perform specified functions in regard to representing statutory and/or regulatory compliance matters." + }, + { + "name": "assessment-objective", + "id": "CPL-08.1_CPL-08.1_A01", + "prose": "localized representation is contracted to perform specified functions in regard to representing statutory and/or regulatory compliance matters." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "part-of", + "href": "#CPL-08" + } + ] + }, + { + "id": "CPL-09", + "title": "Control Reciprocity", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to define instances of control reciprocity within assessment boundaries." + }, + { + "name": "assessment-objective", + "id": "CPL-09_CPL-09_A01", + "prose": "instances of control reciprocity within assessment boundaries are defined." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + } + ] + }, + { + "id": "CPL-10", + "title": "Control Inheritance", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to define instances of control inheritance within assessment boundaries." + }, + { + "name": "assessment-objective", + "id": "CPL-10_CPL-10_A01", + "prose": "instances of control inheritance within assessment boundaries are defined." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + } + ] + }, + { + "id": "CPL-11", + "title": "Dual Use Technology", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to govern technologies and/or data that have potential:\r\n(1) \"Dual-use” capabilities for civil and military;\r\n(2) Use by terrorists; and/or \r\n(3) Weapons of Mass Destruction (WMD) applications." + }, + { + "name": "assessment-objective", + "id": "CPL-11_CPL-11_A01", + "prose": "technologies and/or data that have potential \"dual-use” capabilities for civil and military are identified." + }, + { + "name": "assessment-objective", + "id": "CPL-11_CPL-11_A02", + "prose": "technologies and/or data that have potential use by terrorists are identified." + }, + { + "name": "assessment-objective", + "id": "CPL-11_CPL-11_A03", + "prose": "technologies and/or data that have potential Weapons of Mass Destruction (WMD) applications are identified." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + } + ] + }, + { + "id": "CPL-11.1", + "title": "USML or CCL Identification", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to identify if the organization handles United States Munitions List (USML) or Commerce Control List (CCL):\r\n(1) Items;\r\n(2) Technical data; and/or\r\n(3) Provides defense services." + }, + { + "name": "assessment-objective", + "id": "CPL-11.1_CPL-11.1_A01", + "prose": "a legal requirement to comply with the United States Munitions List (USML) or Commerce Control List (CCL) is determined." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "part-of", + "href": "#CPL-11" + } + ] + }, + { + "id": "CPL-11.2", + "title": "Export-Controlled Access Restrictions", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to restrict logical and physical access to United States (US) export-controlled data to US: \r\n(1) Citizens; and/or\r\n(2) Green Card holders." + }, + { + "name": "assessment-objective", + "id": "CPL-11.2_CPL-11.2_A01", + "prose": "logical access to United States (US) export-controlled data is restricted US citizens." + }, + { + "name": "assessment-objective", + "id": "CPL-11.2_CPL-11.2_A02", + "prose": "logical access to United States (US) export-controlled data is restricted US Green Card holders." + }, + { + "name": "assessment-objective", + "id": "CPL-11.2_CPL-11.2_A03", + "prose": "physical access to United States (US) export-controlled data is restricted US citizens." + }, + { + "name": "assessment-objective", + "id": "CPL-11.2_CPL-11.2_A04", + "prose": "physical access to United States (US) export-controlled data is restricted US Green Card holders." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "part-of", + "href": "#CPL-11" + } + ] + }, + { + "id": "CPL-11.3", + "title": "Export Activities Documentation", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to generate detailed logs of export-controlled data including:\r\n(1) Logical and physical access; and\r\n(2) Export activities." + }, + { + "name": "assessment-objective", + "id": "CPL-11.3_CPL-11.3_A01", + "prose": "detailed logs of export-controlled data are generated to document logical and physical access." + }, + { + "name": "assessment-objective", + "id": "CPL-11.3_CPL-11.3_A02", + "prose": "detailed logs of export-controlled data are generated to document export activities." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "part-of", + "href": "#CPL-11" + } + ] + }, + { + "id": "CPL-12", + "title": "Statement of Applicability (SOA)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to produce a Statement of Applicability (SOA), or similar document, for compliance-related scoping activities." + }, + { + "name": "assessment-objective", + "id": "CPL-12_CPL-12_A01", + "prose": "applicable controls for an audit/assessment are identified." + }, + { + "name": "assessment-objective", + "id": "CPL-12_CPL-12_A02", + "prose": "a Statement of Applicability (SOA), or similar document, is generated to formalize audit/assessment control scoping." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_6.1.3-e" + } + ] + }, + { + "id": "CPL-13", + "title": "Work Products", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to produce work products (e.g., process artifacts) that demonstrate the ability to comply with applicable requirements." + }, + { + "name": "assessment-objective", + "id": "CPL-13_CPL-13_A01", + "prose": "work products (e.g., process artifacts) necessary to demonstrate conformity with applicable requirements are defined." + }, + { + "name": "assessment-objective", + "id": "CPL-13_CPL-13_A02", + "prose": "work products (e.g., process artifacts) necessary to generated and retained to demonstrate conformity with applicable requirements." + }, + { + "name": "overview", + "class": "errata", + "prose": "- new control (CERT-RMM 1.2)" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rc-05-16" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-06-09" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-06-12" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-06-18" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-06-23" + } + ] + }, + { + "id": "CPL-13.1", + "title": "Defensible Evidence of Due Diligence", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to produce evidence of due diligence activities performed, capable of withstanding external audit or regulatory scrutiny." + }, + { + "name": "assessment-objective", + "id": "CPL-13.1_CPL-13.1_A01", + "prose": "the minimum threshold for evidence of due diligence activities capable of withstanding external audit or regulatory scrutiny is defined" + }, + { + "name": "assessment-objective", + "id": "CPL-13.1_CPL-13.1_A02", + "prose": "evidence of due diligence activities is generated and retained to demonstrate conformity with applicable requirements." + }, + { + "name": "overview", + "class": "errata", + "prose": "- new control" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#CPL-13" + } + ] + }, + { + "id": "CPL-13.2", + "title": "Defensible Evidence of Due Care", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to produce evidence of due care activities performed, capable of withstanding external audit or regulatory scrutiny." + }, + { + "name": "assessment-objective", + "id": "CPL-13.2_CPL-13.2_A01", + "prose": "the minimum threshold for evidence of due care activities capable of withstanding external audit or regulatory scrutiny is defined" + }, + { + "name": "assessment-objective", + "id": "CPL-13.2_CPL-13.2_A02", + "prose": "evidence of due care activities is generated and retained to demonstrate conformity with applicable requirements." + }, + { + "name": "overview", + "class": "errata", + "prose": "- new control" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#CPL-13" + } + ] + } + ] + }, + { + "id": "configuration-management", + "title": "Configuration Management", + "controls": [ + { + "id": "CFG-01", + "title": "Configuration Management Program", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "CFG-01" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to facilitate the implementation of configuration management controls." + }, + { + "name": "assessment-objective", + "id": "CFG-01_CFG-01_A01", + "prose": "the scope for the configuration management plan is organization-wide." + }, + { + "name": "assessment-objective", + "id": "CFG-01_CFG-01_A02", + "prose": "the types of changes to the system that are configuration-controlled are defined." + }, + { + "name": "assessment-objective", + "id": "CFG-01_CFG-01_A03", + "prose": "a configuration management plan for systems, applications and services is developed and documented." + }, + { + "name": "assessment-objective", + "id": "CFG-01_CFG-01_A04", + "prose": "a configuration management plan for systems, applications and services is implemented." + }, + { + "name": "assessment-objective", + "id": "CFG-01_CFG-01_A05", + "prose": "the current configuration management policy is reviewed / updated organization-defined frequency." + }, + { + "name": "assessment-objective", + "id": "CFG-01_CFG-01_A06", + "prose": "the current configuration management policy is reviewed / updated following organization-defined events." + }, + { + "name": "assessment-objective", + "id": "CFG-01_CFG-01_A07", + "prose": "personnel or roles to review and approve the configuration management plan is/are defined." + }, + { + "name": "assessment-objective", + "id": "CFG-01_CFG-01_A08", + "prose": "the configuration management plan addresses roles." + }, + { + "name": "assessment-objective", + "id": "CFG-01_CFG-01_A09", + "prose": "the configuration management plan addresses responsibilities." + }, + { + "name": "assessment-objective", + "id": "CFG-01_CFG-01_A10", + "prose": "the configuration management plan addresses configuration management processes and procedures." + }, + { + "name": "assessment-objective", + "id": "CFG-01_CFG-01_A11", + "prose": "the configuration management plan establishes a process for identifying configuration items throughout the system development life cycle." + }, + { + "name": "assessment-objective", + "id": "CFG-01_CFG-01_A12", + "prose": "the configuration management plan establishes a process for managing the configuration of the configuration items." + }, + { + "name": "assessment-objective", + "id": "CFG-01_CFG-01_A13", + "prose": "the configuration management plan defines the configuration items for the system." + }, + { + "name": "assessment-objective", + "id": "CFG-01_CFG-01_A14", + "prose": "the configuration management plan places the configuration items under configuration management." + }, + { + "name": "assessment-objective", + "id": "CFG-01_CFG-01_A15", + "prose": "the configuration management plan is reviewed and approved by organization-defined personnel or roles." + }, + { + "name": "assessment-objective", + "id": "CFG-01_CFG-01_A16", + "prose": "the configuration management plan is protected from unauthorized disclosure." + }, + { + "name": "assessment-objective", + "id": "CFG-01_CFG-01_A17", + "prose": "the configuration management plan is protected from unauthorized modification." + }, + { + "name": "assessment-objective", + "id": "CFG-01_CFG-01_A18", + "prose": "configuration management operations are conducted according to documented policies, standards, procedures and/or other organizational directives." + }, + { + "name": "assessment-objective", + "id": "CFG-01_CFG-01_A19", + "prose": "adequate resources (e.g., people, processes, technologies, data and/or facilities) are provided to support configuration management operations." + }, + { + "name": "assessment-objective", + "id": "CFG-01_CFG-01_A20", + "prose": "responsibility and authority for the performance of configuration management-related activities are assigned to designated personnel." + }, + { + "name": "assessment-objective", + "id": "CFG-01_CFG-01_A21", + "prose": "personnel performing configuration management-related activities have the skills and knowledge needed to perform their assigned duties." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_2.0" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_4.0" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_4.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_4.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_4.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_4.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_4.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_4.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_4.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_4.2" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai10.01" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:uem-03" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:uem-07" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:ccm-02" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:ccm-08" + }, + { + "rel": "mapped-to", + "href": "#iec-tr-60601-4-5-2021:_4.2" + }, + { + "rel": "mapped-to", + "href": "#iec-tr-60601-4-5-2021:_5.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.9" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.12" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_9.4.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.9" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.12" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:pr.po-p1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cm-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cm-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cm-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cm-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:cm-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:cm-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:cm-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:cm-09" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.308-a-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cm-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cm-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:cm-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:cm-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:cm-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cm-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cm-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:cm-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:cm-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:cm-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:cm-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:cm-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:cm-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:cm-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:cm-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:cm-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:nfo-cm-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:nfo-cm-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.01.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.04.03.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-5" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ps" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ps-01" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ps-05" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a05-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.5" + } + ] + }, + { + "id": "CFG-01.1", + "title": "Assignment of Responsibility", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to implement a segregation of duties for configuration management that prevents developers from performing production configuration management duties." + }, + { + "name": "assessment-objective", + "id": "CFG-01.1_CFG-01.1_A01", + "prose": "the responsibility for developing the configuration management process is assigned to organizational personnel who are not directly involved in system development." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.9" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cm-9-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cm-09-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cm-09-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:cm-9-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:cm-9-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:cm-9-1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_2.1" + }, + { + "rel": "part-of", + "href": "#CFG-01" + } + ] + }, + { + "id": "CFG-02", + "title": "Secure Baseline Configurations", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "CFG-02" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management.1", + "value": "3.5.3.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management.2", + "value": "3.5.3.3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management.3", + "value": "3.5.3.4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management.4", + "value": "3.5.3.5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to develop, document and maintain secure baseline configurations for Technology Assets, Applications and/or Services (TAAS) that are consistent with industry-accepted system hardening standards." + }, + { + "name": "assessment-objective", + "id": "CFG-02_CFG-02_A01", + "prose": "a current baseline configuration for systems, applications and services is developed and documented." + }, + { + "name": "assessment-objective", + "id": "CFG-02_CFG-02_A02", + "prose": "the baseline configuration includes hardware, software, firmware and documentation." + }, + { + "name": "assessment-objective", + "id": "CFG-02_CFG-02_A03", + "prose": "security configuration settings for information technology products employed in the system are enforced." + }, + { + "name": "assessment-objective", + "id": "CFG-02_CFG-02_A04", + "prose": "the baseline configuration is maintained (reviewed / updated) throughout the system development life cycle under configuration control." + }, + { + "name": "assessment-objective", + "id": "CFG-02_CFG-02_A05", + "prose": "configuration settings that reflect the most restrictive mode consistent with operational requirements are established and documented for components employed within the system using organization-defined common secure configurations." + }, + { + "name": "assessment-objective", + "id": "CFG-02_CFG-02_A06", + "prose": "thresholds to which attack surfaces are to be reduced are defined." + }, + { + "name": "assessment-objective", + "id": "CFG-02_CFG-02_A07", + "prose": "the developer of the system, system component or system service is required to reduce attack surfaces to organization-defined thresholds." + }, + { + "name": "assessment-objective", + "id": "CFG-02_CFG-02_A08", + "prose": "a control baseline for the system is selected." + }, + { + "name": "assessment-objective", + "id": "CFG-02_CFG-02_A09", + "prose": "approved authorizations are enforced for controlling the flow of CUI within the system." + }, + { + "name": "assessment-objective", + "id": "CFG-02_CFG-02_A10", + "prose": "configuration requirements are established for each type of wireless access to the system." + }, + { + "name": "assessment-objective", + "id": "CFG-02_CFG-02_A11", + "prose": "wireless networking capabilities not intended for use are disabled prior to issuance and deployment." + }, + { + "name": "assessment-objective", + "id": "CFG-02_CFG-02_A12", + "prose": "configuration requirements are established for mobile devices." + }, + { + "name": "assessment-objective", + "id": "CFG-02_CFG-02_A13", + "prose": "audit logging tools are protected from unauthorized access, modification, and deletion." + }, + { + "name": "assessment-objective", + "id": "CFG-02_CFG-02_A14", + "prose": "a current baseline configuration of the system is developed." + }, + { + "name": "assessment-objective", + "id": "CFG-02_CFG-02_A15", + "prose": "a current baseline configuration of the system is maintained under configuration control." + }, + { + "name": "assessment-objective", + "id": "CFG-02_CFG-02_A16", + "prose": "the following configuration settings for the system that reflect the most restrictive mode consistent with operational requirements are established and documented: ." + }, + { + "name": "assessment-objective", + "id": "CFG-02_CFG-02_A17", + "prose": "the following configuration settings for the system are implemented: ." + }, + { + "name": "assessment-objective", + "id": "CFG-02_CFG-02_A18", + "prose": "functions to be prohibited or restricted are defined." + }, + { + "name": "assessment-objective", + "id": "CFG-02_CFG-02_A19", + "prose": "ports to be prohibited or restricted are defined." + }, + { + "name": "assessment-objective", + "id": "CFG-02_CFG-02_A20", + "prose": "protocols to be prohibited or restricted are defined." + }, + { + "name": "assessment-objective", + "id": "CFG-02_CFG-02_A21", + "prose": "connections to be prohibited or restricted are defined." + }, + { + "name": "assessment-objective", + "id": "CFG-02_CFG-02_A22", + "prose": "services to be prohibited or restricted are defined." + }, + { + "name": "assessment-objective", + "id": "CFG-02_CFG-02_A23", + "prose": "the use of the following functions is prohibited or restricted: ." + }, + { + "name": "assessment-objective", + "id": "CFG-02_CFG-02_A24", + "prose": "the use of the following ports is prohibited or restricted: ." + }, + { + "name": "assessment-objective", + "id": "CFG-02_CFG-02_A25", + "prose": "the use of the following protocols is prohibited or restricted: ." + }, + { + "name": "assessment-objective", + "id": "CFG-02_CFG-02_A26", + "prose": "the use of the following connections is prohibited or restricted: ." + }, + { + "name": "assessment-objective", + "id": "CFG-02_CFG-02_A27", + "prose": "the use of the following services is prohibited or restricted: ." + }, + { + "name": "assessment-objective", + "id": "CFG-02_CFG-02_A28", + "prose": "replay-resistant authentication mechanisms for access to privileged accounts are implemented." + }, + { + "name": "assessment-objective", + "id": "CFG-02_CFG-02_A29", + "prose": "replay-resistant authentication mechanisms for access to non-privileged accounts are implemented." + }, + { + "name": "assessment-objective", + "id": "CFG-02_CFG-02_A30", + "prose": "passwords are only transmitted over cryptographically protected channels." + }, + { + "name": "assessment-objective", + "id": "CFG-02_CFG-02_A31", + "prose": "passwords are stored in a cryptographically protected form." + }, + { + "name": "assessment-objective", + "id": "CFG-02_CFG-02_A32", + "prose": "a new password is selected upon first use after account recovery." + }, + { + "name": "assessment-objective", + "id": "CFG-02_CFG-02_A33", + "prose": "organization-defined composition and complexity rules for passwords are enforced." + }, + { + "name": "assessment-objective", + "id": "CFG-02_CFG-02_A34", + "prose": "replay resistance is implemented in the establishment of nonlocal maintenance and diagnostic sessions." + }, + { + "name": "assessment-objective", + "id": "CFG-02_CFG-02_A35", + "prose": "the following composition and complexity rules for passwords are enforced: ." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_4.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_4.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_4.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_4.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_4.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_4.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_4.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_4.8" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_10.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_10.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_10.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_16.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_4.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_4.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_4.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_4.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_4.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_4.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_4.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_10.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_4.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_4.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_4.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_4.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_4.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_4.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_4.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_4.8" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_10.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_10.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_10.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_16.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_4.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_4.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_4.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_4.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_4.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_4.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_4.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_4.8" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_10.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_10.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_10.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_16.7" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai10.02" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:ais-02" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:ccc-06" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:i-s-04" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:uem-07" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:cls-05" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:iot-02" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:iot-03" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:iot-07" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:snt-01" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:sws-01" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:sws-08" + }, + { + "rel": "mapped-to", + "href": "#iec-tr-60601-4-5-2021:_4.2" + }, + { + "rel": "mapped-to", + "href": "#iec-tr-60601-4-5-2021:_5.1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:cm-1.3" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:net-2.1-a" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:net-2.1-c" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:net-2.3" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:net-3.3" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:comp-1.1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:user-1.7" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:user-1.8" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-2.2" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-7.6" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-2.2" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-7.6" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.5" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.9" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.12" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.25" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.26" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_9.4.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_9.4.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_14.1.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.5" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.9" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.12" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.25" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.26" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-2.3-001" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:ct.dp-p4" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:pr.po-p1" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:pr.pt-p2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cm-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cm-2-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cm-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sa-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cm-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cm-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pl-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-15-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:cm-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:cm-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sa-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sa-15-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:cm-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:cm-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:pl-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:sa-08" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.312-a" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.312-e-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cm-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cm-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pl-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-15-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:cm-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:cm-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pl-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:sa-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:cm-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:cm-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pl-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sa-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cm-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cm-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pl-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sa-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sa-15-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:cm-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:cm-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pl-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sa-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:cm-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:cm-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:pl-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:sa-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:cm-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:cm-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:sa-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:cm-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:cm-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:pl-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sa-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:cm-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:cm-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:pl-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sa-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.3.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.4.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.4.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.01.h" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.08.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.08.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.10.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.10.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.10.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.12.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.16.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.18.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.01.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.02.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.06.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.06.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.06.d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.07.d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.07.e" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.07.f" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.12.d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.08.07.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.13.12.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.4.1-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.4.1-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.4.1-c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.4.2-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.4.2-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.03-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.16.a-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.16.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.18.a-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.03.08.a-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.04.01.a-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.04.01.a-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.04.02.a-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.04.02.a-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.04.06.odp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.04.06.odp-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.04.06.odp-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.04.06.odp-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.04.06.odp-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.04.06.b-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.04.06.b-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.04.06.b-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.04.06.b-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.04.06.b-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.05.04-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.05.04-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.05.07.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.05.07.d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.05.07.e" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.05.07.f" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.07.05.b-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:po.5.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:pw.9.1" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ds-10" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ps" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ps-05" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a01-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a02-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a04-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a05-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a06-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a09-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a10-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.2.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_2.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.2.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.2.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.2.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.2.1.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.2.1.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.2.1.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.2.1.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.6.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.6.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.2.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_2.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.2.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.2.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.2.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.2.1.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.2.1.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.2.1.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.2.1.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.6.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.6.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_1.2.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_2.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_10.2.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_10.2.1.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_10.2.1.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_10.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_10.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_10.6.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_10.6.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.2.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_2.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.2.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.2.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.2.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.2.1.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.2.1.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.2.1.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.2.1.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.6.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.6.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.2.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_2.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.2.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.2.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.2.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.2.1.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.2.1.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.2.1.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.2.1.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.6.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.6.3" + } + ] + }, + { + "id": "CFG-02.1", + "title": "Reviews & Updates", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "CFG-02.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to review and update baseline configurations:\r\n(1) At least annually;\r\n(2) When required due to so; or\r\n(3) As part of system component installations and upgrades." + }, + { + "name": "assessment-objective", + "id": "CFG-02.1_CFG-02.1_A01", + "prose": "the circumstances requiring baseline configuration review / update are defined." + }, + { + "name": "assessment-objective", + "id": "CFG-02.1_CFG-02.1_A02", + "prose": "the baseline configuration of the system is reviewed / updated when required due to organization-defined circumstances." + }, + { + "name": "assessment-objective", + "id": "CFG-02.1_CFG-02.1_A03", + "prose": "the frequency of baseline configuration review / update is defined." + }, + { + "name": "assessment-objective", + "id": "CFG-02.1_CFG-02.1_A04", + "prose": "the baseline configuration of the system is reviewed per an organization-defined frequency." + }, + { + "name": "assessment-objective", + "id": "CFG-02.1_CFG-02.1_A05", + "prose": "the baseline configuration of the system is updated per an organization-defined frequency." + }, + { + "name": "assessment-objective", + "id": "CFG-02.1_CFG-02.1_A06", + "prose": "the baseline configuration of the system is reviewed when system components are installed or modified." + }, + { + "name": "assessment-objective", + "id": "CFG-02.1_CFG-02.1_A07", + "prose": "the baseline configuration of the system is updated when system components are installed or modified." + }, + { + "name": "assessment-objective", + "id": "CFG-02.1_CFG-02.1_A08", + "prose": "the system is reviewed to identify unnecessary or nonsecure functions, ports, protocols, connections, and services." + }, + { + "name": "assessment-objective", + "id": "CFG-02.1_CFG-02.1_A09", + "prose": "the baseline configuration of the system is reviewed ." + }, + { + "name": "assessment-objective", + "id": "CFG-02.1_CFG-02.1_A10", + "prose": "the baseline configuration of the system is updated ." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_4.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_4.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_4.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_4.1" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai10.05" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:ccc-06" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.9" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cm-2-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cm-2-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cm-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:cm-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:cm-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cm-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:cm-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:cm-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cm-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:cm-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:cm-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:cm-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:cm-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:cm-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.3.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:nfo-cm-2-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.01.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.02.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.04.01.odp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.04.01.b-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.04.01.b-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.04.01.b-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.04.01.b-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.04.06.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-5" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ps" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.4.2" + }, + { + "rel": "part-of", + "href": "#CFG-02" + } + ] + }, + { + "id": "CFG-02.2", + "title": "Automated Central Management & Verification", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "CFG-02.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to govern and report on baseline configurations of Technology Assets, Applications and/or Services (TAAS) through Continuous Diagnostics and Mitigation (CDM), or similar technologies." + }, + { + "name": "assessment-objective", + "id": "CFG-02.2_CFG-02.2_A01", + "prose": "system components for which to manage, apply and verify configuration settings are defined." + }, + { + "name": "assessment-objective", + "id": "CFG-02.2_CFG-02.2_A02", + "prose": "automated discovery and management tools are employed to maintain an up-to-date, complete, accurate and readily available inventory of system components." + }, + { + "name": "assessment-objective", + "id": "CFG-02.2_CFG-02.2_A03", + "prose": "automated discovery and management tools for the inventory of system components are identified." + }, + { + "name": "assessment-objective", + "id": "CFG-02.2_CFG-02.2_A04", + "prose": "an up-to-date, complete, accurate and readily available inventory of system components exists." + }, + { + "name": "assessment-objective", + "id": "CFG-02.2_CFG-02.2_A05", + "prose": "activities associated with configuration-controlled changes to the system are monitored." + }, + { + "name": "assessment-objective", + "id": "CFG-02.2_CFG-02.2_A06", + "prose": "activities associated with configuration-controlled changes to the system are reviewed." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai10.02" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai10.04" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai10.05" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:ccc-06" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:ccc-07" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:ccc-08" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:ccm-03" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:sws-02" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:cm-1.3" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-3.3-re-1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-3.3-re-2" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-7.6-re-1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-7.6-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cm-2-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cm-6-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cm-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cm-06-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:cm-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:cm-06-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cm-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cm-06-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:cm-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cm-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cm-06-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:cm-6-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:cm-6-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.02.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.03.d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.04.03.d-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.04.03.d-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.4.2e" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-5" + }, + { + "rel": "part-of", + "href": "#CFG-02" + } + ] + }, + { + "id": "CFG-02.3", + "title": "Retention Of Previous Configurations", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "CFG-02.3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to retain previous versions of baseline configuration to support roll back." + }, + { + "name": "assessment-objective", + "id": "CFG-02.3_CFG-02.3_A01", + "prose": "the number of previous baseline configuration versions to be retained is defined." + }, + { + "name": "assessment-objective", + "id": "CFG-02.3_CFG-02.3_A02", + "prose": "organization-defined number of previous baseline configuration version(s) of the system is/are retained to support rollback." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cm-2-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cm-02-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:cm-02-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cm-02-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:cm-02-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cm-02-03" + }, + { + "rel": "part-of", + "href": "#CFG-02" + } + ] + }, + { + "id": "CFG-02.4", + "title": "Development & Test Environment Configurations", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to manage baseline configurations for development and test environments separately from operational baseline configurations to minimize the risk of unintentional changes." + }, + { + "name": "assessment-objective", + "id": "CFG-02.4_CFG-02.4_A01", + "prose": "a baseline configuration for system development environments that is managed separately from the operational baseline configuration is maintained." + }, + { + "name": "assessment-objective", + "id": "CFG-02.4_CFG-02.4_A02", + "prose": "a baseline configuration for test environments that is managed separately from the operational baseline configuration is maintained." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:ais-02" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.25" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.25" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cm-2-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cm-02-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cm-02-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:cm-2-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:cm-2-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:cm-2-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:po.5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:po.5.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.5.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.5.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.5.6" + }, + { + "rel": "part-of", + "href": "#CFG-02" + } + ] + }, + { + "id": "CFG-02.5", + "title": "Configure Technology Assets, Applications and/or Services (TAAS) for High-Risk Areas", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "CFG-02.5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to configure Technology Assets, Applications and/or Services (TAAS) utilized in high-risk areas with more restrictive baseline configurations." + }, + { + "name": "assessment-objective", + "id": "CFG-02.5_CFG-02.5_A01", + "prose": "security requirements to be applied to the system or system components when individuals return from travel are defined." + }, + { + "name": "assessment-objective", + "id": "CFG-02.5_CFG-02.5_A02", + "prose": "organization-defined systems or system components with organization-defined configurations are issued to individuals traveling to locations that the organization deems to be of significant risk." + }, + { + "name": "assessment-objective", + "id": "CFG-02.5_CFG-02.5_A03", + "prose": "organization-defined controls are applied to the systems or system components when the individuals return from travel." + }, + { + "name": "assessment-objective", + "id": "CFG-02.5_CFG-02.5_A04", + "prose": "configurations for systems or system components to be issued to individuals traveling to high-risk locations are defined." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_16.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_16.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_16.7" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:ais-02" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:cls-05" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:iot-02" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:sap-09" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:sws-03" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-05-12" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.12" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-37-r2:task-p-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cm-2-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cm-02-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cm-07-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cm-07-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cm-07-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:cm-02-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cm-02-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cm-07-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cm-07-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cm-07-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:cm-02-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cm-02-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:cm-02-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:cm-07-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:cm-07-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:cm-7-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:cm-7-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:cm-7-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:cm-7-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:cm-7-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:cm-7-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:cm-7-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:cm-7-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:nfo-cm-2-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.01.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.02.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.06.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.06.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.06.d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.12.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.04.12.odp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.04.12.odp-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:po.5.2" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ps" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.2.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.2.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.2.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.2.1.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.2.1.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.2.1.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.2.1.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.6.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.6.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.2.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.2.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.2.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.2.1.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.2.1.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.2.1.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.2.1.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.6.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.6.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_10.2.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_10.2.1.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_10.2.1.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_10.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_10.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_10.6.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_10.6.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_1.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.2.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.2.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.2.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.2.1.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.2.1.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.2.1.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.2.1.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.6.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.6.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.2.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.2.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.2.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.2.1.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.2.1.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.2.1.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.2.1.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.6.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.6.3" + }, + { + "rel": "part-of", + "href": "#CFG-02" + } + ] + }, + { + "id": "CFG-02.6", + "title": "Network Device Configuration File Synchronization", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to configure network devices to synchronize startup and running configuration files." + }, + { + "name": "assessment-objective", + "id": "CFG-02.6_CFG-02.6_A01", + "prose": "network devices are configured to synchronize startup and running configuration files." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.2.8" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.2.8" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.2.8" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.2.8" + }, + { + "rel": "part-of", + "href": "#CFG-02" + } + ] + }, + { + "id": "CFG-02.7", + "title": "Approved Configuration Deviations", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "CFG-02.7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to document, assess risk and approve or deny deviations to standardized configurations." + }, + { + "name": "assessment-objective", + "id": "CFG-02.7_CFG-02.7_A01", + "prose": "configuration settings that reflect the most restrictive mode consistent with operational requirements are established and documented for components employed within the system using common secure configurations." + }, + { + "name": "assessment-objective", + "id": "CFG-02.7_CFG-02.7_A02", + "prose": "changes to the configuration settings are controlled in accordance with organizational policies and procedures." + }, + { + "name": "assessment-objective", + "id": "CFG-02.7_CFG-02.7_A03", + "prose": "any deviations from established configuration settings are identified and documented." + }, + { + "name": "assessment-objective", + "id": "CFG-02.7_CFG-02.7_A04", + "prose": "any deviations from established configuration settings are approved." + }, + { + "name": "assessment-objective", + "id": "CFG-02.7_CFG-02.7_A05", + "prose": "common secure configurations to establish and document configuration settings for components employed within the system are defined." + }, + { + "name": "assessment-objective", + "id": "CFG-02.7_CFG-02.7_A06", + "prose": "system components for which approval of deviations is needed are defined." + }, + { + "name": "assessment-objective", + "id": "CFG-02.7_CFG-02.7_A07", + "prose": "operational requirements necessitating approval of deviations are defined." + }, + { + "name": "assessment-objective", + "id": "CFG-02.7_CFG-02.7_A08", + "prose": "changes to the configuration settings are monitored in accordance with organizational policies and procedures." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:ais-02" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:ccc-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cm-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cm-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:cm-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:cm-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cm-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:cm-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:cm-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cm-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:cm-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:cm-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:cm-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:cm-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:cm-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.01.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.02.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.04.02.b-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.04.02.b-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.5.2e" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-5" + }, + { + "rel": "part-of", + "href": "#CFG-02" + } + ] + }, + { + "id": "CFG-02.8", + "title": "Respond To Unauthorized Changes", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "CFG-02.8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to respond to unauthorized changes to configuration settings as security incidents." + }, + { + "name": "assessment-objective", + "id": "CFG-02.8_CFG-02.8_A01", + "prose": "actions to be taken upon an unauthorized change are defined." + }, + { + "name": "assessment-objective", + "id": "CFG-02.8_CFG-02.8_A02", + "prose": "organization-defined actions are taken in response to unauthorized changes to organization-defined configuration settings." + }, + { + "name": "assessment-objective", + "id": "CFG-02.8_CFG-02.8_A03", + "prose": "configuration settings requiring action upon an unauthorized change are defined." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:respond" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_2.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_2.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_2.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_2.3" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:ccc-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cm-6-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cm-06-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:cm-06-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cm-06-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cm-06-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:cm-6-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:cm-6-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.4.2e" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.7.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.7.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.7.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.7.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.7.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.7.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.7.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.7.3" + }, + { + "rel": "part-of", + "href": "#CFG-02" + } + ] + }, + { + "id": "CFG-02.9", + "title": "Baseline Tailoring", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "CFG-02.9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to allow baseline controls to be specialized or customized by applying a defined set of tailoring actions that are specific to:\r\n(1) Mission / business functions;\r\n(2) Operational environment;\r\n(3) Specific threats or vulnerabilities; or\r\n(4) Other conditions or situations that could affect mission / business success." + }, + { + "name": "assessment-objective", + "id": "CFG-02.9_CFG-02.9_A01", + "prose": "the selected control baseline is tailored by applying specified tailoring actions." + }, + { + "name": "assessment-objective", + "id": "CFG-02.9_CFG-02.9_A02", + "prose": "additional information for audit records is provided, as needed." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:ais-02" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:pm-06-13" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:pm-06-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-37-r2:task-p-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-37-r2:task-s-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pl-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:pl-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pl-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pl-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pl-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pl-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.3.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.03.02.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.01.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.02.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.02.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.06.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.08.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.12.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.13.11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.03.02.b" + }, + { + "rel": "part-of", + "href": "#CFG-02" + } + ] + }, + { + "id": "CFG-03", + "title": "Least Functionality", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "CFG-03" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management", + "value": "3.5.3.3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to configure systems to provide only essential capabilities by specifically prohibiting or restricting the use of ports, protocols, and/or services." + }, + { + "name": "assessment-objective", + "id": "CFG-03_CFG-03_A01", + "prose": "configuration settings for the system that reflect the most restrictive mode consistent with operational requirements are defined (e.g., principle of least functionality)." + }, + { + "name": "assessment-objective", + "id": "CFG-03_CFG-03_A02", + "prose": "systems are configured to provide only the defined essential capabilities, where unnecessary or nonsecure functions, ports, protocols, connections, and services are disabled or removed." + }, + { + "name": "assessment-objective", + "id": "CFG-03_CFG-03_A03", + "prose": "functions to be prohibited or restricted are defined." + }, + { + "name": "assessment-objective", + "id": "CFG-03_CFG-03_A04", + "prose": "ports to be prohibited or restricted are defined." + }, + { + "name": "assessment-objective", + "id": "CFG-03_CFG-03_A05", + "prose": "protocols to be prohibited or restricted are defined." + }, + { + "name": "assessment-objective", + "id": "CFG-03_CFG-03_A06", + "prose": "software to be prohibited or restricted is defined." + }, + { + "name": "assessment-objective", + "id": "CFG-03_CFG-03_A07", + "prose": "services to be prohibited or restricted are defined." + }, + { + "name": "assessment-objective", + "id": "CFG-03_CFG-03_A08", + "prose": "the use of organization-defined functions is prohibited or restricted." + }, + { + "name": "assessment-objective", + "id": "CFG-03_CFG-03_A09", + "prose": "the use of organization-defined ports is prohibited or restricted." + }, + { + "name": "assessment-objective", + "id": "CFG-03_CFG-03_A10", + "prose": "the use of organization-defined protocols is prohibited or restricted." + }, + { + "name": "assessment-objective", + "id": "CFG-03_CFG-03_A11", + "prose": "the use of organization-defined software is prohibited or restricted." + }, + { + "name": "assessment-objective", + "id": "CFG-03_CFG-03_A12", + "prose": "the use of organization-defined services is prohibited or restricted." + }, + { + "name": "assessment-objective", + "id": "CFG-03_CFG-03_A13", + "prose": "configuration settings for the system reflect the most restrictive mode consistent with operational requirements are defined." + }, + { + "name": "assessment-objective", + "id": "CFG-03_CFG-03_A14", + "prose": "unnecessary or nonsecure functions, ports, protocols, connections, and services are disabled or removed." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_4.0" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_4.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_4.8" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_4.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_4.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_4.8" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_4.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_4.8" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:ais-02" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-7.7" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-2.2" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-7.7" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.9" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.12" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_9.4.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.9" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.12" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:pr.pt-p2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cm-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cm-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:cm-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cm-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:cm-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:cm-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cm-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:cm-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:cm-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:cm-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:cm-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.4.6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.02.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.06.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.06.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.06.d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.08.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.4.6-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.4.6-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.04.02.odp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.04.06.d" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ps-05" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a05-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.2.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_2.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.2.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_2.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_1.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_1.2.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_1.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_2.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_2.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.2.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_2.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.2.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_2.2.4" + } + ] + }, + { + "id": "CFG-03.1", + "title": "Periodic Review", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "CFG-03.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to periodically review system configurations to identify and disable unnecessary and/or non-secure functions, ports, protocols and services." + }, + { + "name": "assessment-objective", + "id": "CFG-03.1_CFG-03.1_A01", + "prose": "the frequency at which to review the system to identify unnecessary or nonsecure functions, ports, protocols, connections, or services is defined." + }, + { + "name": "assessment-objective", + "id": "CFG-03.1_CFG-03.1_A02", + "prose": "organization-defined functions, ports, protocols, software and services deemed to be unnecessary and/or non-secure are disabled or removed." + }, + { + "name": "assessment-objective", + "id": "CFG-03.1_CFG-03.1_A03", + "prose": "essential programs are defined." + }, + { + "name": "assessment-objective", + "id": "CFG-03.1_CFG-03.1_A04", + "prose": "essential functions are defined." + }, + { + "name": "assessment-objective", + "id": "CFG-03.1_CFG-03.1_A05", + "prose": "essential ports are defined." + }, + { + "name": "assessment-objective", + "id": "CFG-03.1_CFG-03.1_A06", + "prose": "essential protocols are defined." + }, + { + "name": "assessment-objective", + "id": "CFG-03.1_CFG-03.1_A07", + "prose": "essential services are defined." + }, + { + "name": "assessment-objective", + "id": "CFG-03.1_CFG-03.1_A08", + "prose": "the use of nonessential programs is defined." + }, + { + "name": "assessment-objective", + "id": "CFG-03.1_CFG-03.1_A09", + "prose": "the use of nonessential programs is restricted, disabled or prevented as defined." + }, + { + "name": "assessment-objective", + "id": "CFG-03.1_CFG-03.1_A10", + "prose": "the use of nonessential functions is defined." + }, + { + "name": "assessment-objective", + "id": "CFG-03.1_CFG-03.1_A11", + "prose": "the use of nonessential functions is restricted, disabled or prevented as defined." + }, + { + "name": "assessment-objective", + "id": "CFG-03.1_CFG-03.1_A12", + "prose": "the use of nonessential ports is defined." + }, + { + "name": "assessment-objective", + "id": "CFG-03.1_CFG-03.1_A13", + "prose": "the use of nonessential protocols is defined." + }, + { + "name": "assessment-objective", + "id": "CFG-03.1_CFG-03.1_A14", + "prose": "the use of nonessential ports is restricted, disabled or prevented as defined." + }, + { + "name": "assessment-objective", + "id": "CFG-03.1_CFG-03.1_A15", + "prose": "the use of nonessential protocols is restricted, disabled or prevented as defined." + }, + { + "name": "assessment-objective", + "id": "CFG-03.1_CFG-03.1_A16", + "prose": "the use of nonessential services is defined." + }, + { + "name": "assessment-objective", + "id": "CFG-03.1_CFG-03.1_A17", + "prose": "the use of nonessential services is restricted, disabled or prevented as defined." + }, + { + "name": "assessment-objective", + "id": "CFG-03.1_CFG-03.1_A18", + "prose": "functions to be disabled or removed when deemed unnecessary or non-secure are defined." + }, + { + "name": "assessment-objective", + "id": "CFG-03.1_CFG-03.1_A19", + "prose": "ports to be disabled or removed when deemed unnecessary or non-secure are defined." + }, + { + "name": "assessment-objective", + "id": "CFG-03.1_CFG-03.1_A20", + "prose": "protocols to be disabled or removed when deemed unnecessary or non-secure are defined." + }, + { + "name": "assessment-objective", + "id": "CFG-03.1_CFG-03.1_A21", + "prose": "software to be disabled or removed when deemed unnecessary or non-secure is defined." + }, + { + "name": "assessment-objective", + "id": "CFG-03.1_CFG-03.1_A22", + "prose": "services to be disabled or removed when deemed unnecessary or non-secure are defined." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:ais-02" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.8" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.27" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_9.2.5" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_9.2.6" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_12.6.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.8" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.27" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cm-7-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cm-07-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:cm-07-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cm-07-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:cm-07-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cm-07-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:cm-7-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:cm-7-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:cm-7-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.4.7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.06.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.08.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.4.7-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.4.7-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.4.7-c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.4.7-d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.4.7-e" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.4.7-f" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.4.7-g" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.4.7-h" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.4.7-i" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.4.7-j" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.4.7-k" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.4.7-l" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.4.7-m" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.4.7-n" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.4.7-o" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.04.06.odp-06" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.2.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.3.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.5.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.5.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.6.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.6.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_11.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.2.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_11.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_12.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_12.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.2.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_11.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.3.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.5.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.6.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.6.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.2.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.3.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.5.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.5.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.6.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.6.3" + }, + { + "rel": "part-of", + "href": "#CFG-03" + } + ] + }, + { + "id": "CFG-03.2", + "title": "Prevent Unauthorized Software Execution", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "CFG-03.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to configure systems to prevent the execution of unauthorized software programs." + }, + { + "name": "assessment-objective", + "id": "CFG-03.2_CFG-03.2_A01", + "prose": "policies, rules of behavior, and/or access agreements regarding unauthorized software program usage and restrictions are defined." + }, + { + "name": "assessment-objective", + "id": "CFG-03.2_CFG-03.2_A02", + "prose": "program execution is prevented in accordance with organization-defined criteria (e.g., policies, rules of behavior, and/or access agreements)." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_2.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_2.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_2.5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cm-7-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cm-07-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:cm-07-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:cm-07-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cm-07-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:cm-07-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.4.7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.08.b" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ps-05" + }, + { + "rel": "part-of", + "href": "#CFG-03" + } + ] + }, + { + "id": "CFG-03.3", + "title": "Explicitly Allow / Deny Applications", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "CFG-03.3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to explicitly allow (allowlist / whitelist) and/or block (denylist / blacklist) applications that are authorized to execute on systems." + }, + { + "name": "assessment-objective", + "id": "CFG-03.3_CFG-03.3_A01", + "prose": "a policy and/or process specifying whether whitelisting or blacklisting is to be implemented is specified." + }, + { + "name": "assessment-objective", + "id": "CFG-03.3_CFG-03.3_A02", + "prose": "the software allowed to execute under whitelisting or denied use under blacklisting is specified." + }, + { + "name": "assessment-objective", + "id": "CFG-03.3_CFG-03.3_A03", + "prose": "whitelisting to allow the execution of authorized software or blacklisting to prevent the use of unauthorized software is implemented as specified." + }, + { + "name": "assessment-objective", + "id": "CFG-03.3_CFG-03.3_A04", + "prose": "registration requirements for functions, ports, protocols and services are defined." + }, + { + "name": "assessment-objective", + "id": "CFG-03.3_CFG-03.3_A05", + "prose": "an allow-all, deny-by-exception policy is employed to prohibit the execution of unauthorized software programs on the system." + }, + { + "name": "assessment-objective", + "id": "CFG-03.3_CFG-03.3_A06", + "prose": "the list of unauthorized software programs is reviewed / updated organization-defined frequency." + }, + { + "name": "assessment-objective", + "id": "CFG-03.3_CFG-03.3_A07", + "prose": "organization-defined registration requirements are complied with." + }, + { + "name": "assessment-objective", + "id": "CFG-03.3_CFG-03.3_A08", + "prose": "software programs not authorized to execute on the system are defined." + }, + { + "name": "assessment-objective", + "id": "CFG-03.3_CFG-03.3_A09", + "prose": "frequency at which to review / update the list of unauthorized software programs is defined." + }, + { + "name": "assessment-objective", + "id": "CFG-03.3_CFG-03.3_A10", + "prose": "organization-defined software programs are identified." + }, + { + "name": "assessment-objective", + "id": "CFG-03.3_CFG-03.3_A11", + "prose": "software programs authorized to execute on the system are identified." + }, + { + "name": "assessment-objective", + "id": "CFG-03.3_CFG-03.3_A12", + "prose": "the frequency at which to review and update the list of authorized software programs is defined." + }, + { + "name": "assessment-objective", + "id": "CFG-03.3_CFG-03.3_A13", + "prose": "a deny-all, allow-by-exception policy for the execution of authorized software programs on the system is implemented." + }, + { + "name": "assessment-objective", + "id": "CFG-03.3_CFG-03.3_A14", + "prose": "the list of authorized software programs is reviewed / updated organization-defined frequency." + }, + { + "name": "assessment-objective", + "id": "CFG-03.3_CFG-03.3_A15", + "prose": "the automatic execution of mobile code in organization-defined software applications is prevented." + }, + { + "name": "assessment-objective", + "id": "CFG-03.3_CFG-03.3_A16", + "prose": "organization-defined actions are enforced prior to executing mobile code." + }, + { + "name": "assessment-objective", + "id": "CFG-03.3_CFG-03.3_A17", + "prose": "the use of mobile code is controlled." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_2.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_2.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_2.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_2.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_2.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_2.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_2.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_2.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_2.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_2.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_2.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_2.7" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:uem-02" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:cls-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cm-7-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cm-7-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-18-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cm-07-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cm-07-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-18-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sc-18-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:cm-07-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cm-07-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cm-07-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-18-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:cm-07-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cm-07-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:cm-07-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:cm-07-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:cm-7-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:cm-7-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:cm-7-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:cm-7-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:cm-7-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.4.8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.08.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.08.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.13.13.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.13.13.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.4.8-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.4.8-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.4.8-c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.04.08.odp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.04.08.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.04.08.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.13.13.b-03" + }, + { + "rel": "part-of", + "href": "#CFG-03" + } + ] + }, + { + "id": "CFG-03.4", + "title": "Split Tunneling", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to prevent split tunneling for remote devices unless the split tunnel is securely provisioned using organization-defined safeguards." + }, + { + "name": "assessment-objective", + "id": "CFG-03.4_CFG-03.4_A01", + "prose": "safeguards to securely provision split tunneling are defined." + }, + { + "name": "assessment-objective", + "id": "CFG-03.4_CFG-03.4_A02", + "prose": "remote devices are prevented from simultaneously establishing non-remote connections with the system and communicating via some other connection to resources in external networks (e.g., split tunneling)." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-7-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-07-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:sc-07-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-07-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sc-07-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sc-07-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.13.7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.13.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_1.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.5.1" + }, + { + "rel": "part-of", + "href": "#CFG-03" + } + ] + }, + { + "id": "CFG-04", + "title": "Software Usage Restrictions", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "CFG-04" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to enforce software usage restrictions to comply with applicable contract agreements and copyright laws." + }, + { + "name": "assessment-objective", + "id": "CFG-04_CFG-04_A01", + "prose": "software and associated documentation are used in accordance with contract agreements and copyright laws." + }, + { + "name": "assessment-objective", + "id": "CFG-04_CFG-04_A02", + "prose": "the use of software and associated documentation protected by quantity licenses is tracked to control copying and distribution." + }, + { + "name": "assessment-objective", + "id": "CFG-04_CFG-04_A03", + "prose": "the use of peer-to-peer file sharing technology is controlled and documented to ensure that peer-to-peer file sharing is not used for the unauthorized distribution, display, performance or reproduction of copyrighted work." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cm-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cm-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:cm-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cm-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:cm-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:cm-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cm-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:cm-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:cm-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:cm-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:cm-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.13.13.b" + } + ] + }, + { + "id": "CFG-04.1", + "title": "Open Source Software", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "CFG-04.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to establish parameters for the secure use of open source software." + }, + { + "name": "assessment-objective", + "id": "CFG-04.1_CFG-04.1_A01", + "prose": "restrictions on the use of open-source software are defined." + }, + { + "name": "assessment-objective", + "id": "CFG-04.1_CFG-04.1_A02", + "prose": "organization-defined restrictions are established for the use of open-source software." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-6.2-002" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cm-10-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cm-10-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cm-10-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:cm-8-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:cm-10-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:cm-10-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:cm-8-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:cm-10-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.13.13.b" + }, + { + "rel": "part-of", + "href": "#CFG-04" + } + ] + }, + { + "id": "CFG-04.2", + "title": "Unsupported Internet Browsers & Email Clients", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to allow only approved Internet browsers and email clients to run on systems." + }, + { + "name": "assessment-objective", + "id": "CFG-04.2_CFG-04.2_A01", + "prose": "security configuration settings for authorized Internet browsers are established." + }, + { + "name": "assessment-objective", + "id": "CFG-04.2_CFG-04.2_A02", + "prose": "security configuration settings for authorized email clients are established." + }, + { + "name": "assessment-objective", + "id": "CFG-04.2_CFG-04.2_A03", + "prose": "users are prevented from installing unauthorized Internet browsers and/or email clients through technical and/or administrative mechanisms." + }, + { + "name": "assessment-objective", + "id": "CFG-04.2_CFG-04.2_A04", + "prose": "unauthorized Internet browsers and/or email clients are responded to a security incident, per established incident response procedures." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_9.0" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_9.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_9.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_9.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_9.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_9.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_9.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_9.4" + }, + { + "rel": "part-of", + "href": "#CFG-04" + } + ] + }, + { + "id": "CFG-05", + "title": "User-Installed Software", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "CFG-05" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to restrict the ability of non-privileged users to install unauthorized software." + }, + { + "name": "assessment-objective", + "id": "CFG-05_CFG-05_A01", + "prose": "policies governing the installation of software by users are defined." + }, + { + "name": "assessment-objective", + "id": "CFG-05_CFG-05_A02", + "prose": "methods used to enforce software installation policies are defined." + }, + { + "name": "assessment-objective", + "id": "CFG-05_CFG-05_A03", + "prose": "software installation policies are enforced through organization-defined methods." + }, + { + "name": "assessment-objective", + "id": "CFG-05_CFG-05_A04", + "prose": "installation of software by users is monitored." + }, + { + "name": "assessment-objective", + "id": "CFG-05_CFG-05_A05", + "prose": "configuration settings prevent the ability of non-privileged users to install unauthorized software." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cm-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cm-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cm-11-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:cm-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:cm-11-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:cm-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cm-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cm-11-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:cm-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:cm-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cm-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:cm-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:cm-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:cm-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:cm-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.4.9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.13.13.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.4.9-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.4.9-c" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ps-05" + } + ] + }, + { + "id": "CFG-05.1", + "title": "Unauthorized Installation Alerts", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to configure systems to generate an alert when the unauthorized installation of software is detected." + }, + { + "name": "assessment-objective", + "id": "CFG-05.1_CFG-05.1_A01", + "prose": "compliance with software installation policies is enforced using organization-defined automated mechanisms." + }, + { + "name": "assessment-objective", + "id": "CFG-05.1_CFG-05.1_A02", + "prose": "the frequency at which automated mechanisms are used to detect the presence of unauthorized hardware, software and/or firmware within the system is defined." + }, + { + "name": "assessment-objective", + "id": "CFG-05.1_CFG-05.1_A03", + "prose": "automated mechanisms used to monitor compliance are defined." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_2.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_2.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_2.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_2.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cm-11-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cm-08-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cm-11-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:cm-08-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:cm-11-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:cm-08-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cm-08-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cm-11-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:cm-08-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cm-08-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:cm-08-03" + }, + { + "rel": "part-of", + "href": "#CFG-05" + } + ] + }, + { + "id": "CFG-05.2", + "title": "Restrict Roles Permitted To Install Software", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to configure systems to prevent the installation of software, unless the action is performed by a privileged user or service." + }, + { + "name": "assessment-objective", + "id": "CFG-05.2_CFG-05.2_A01", + "prose": "user installation of software is allowed only with explicit privileged status." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_9.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_9.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_9.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_9.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_9.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_9.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_9.4" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:iam-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cm-11-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cm-11-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:cm-11-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cm-11-02" + }, + { + "rel": "part-of", + "href": "#CFG-05" + } + ] + }, + { + "id": "CFG-06", + "title": "Configuration Enforcement", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "CFG-06" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to monitor, enforce and report on configurations for endpoint devices." + }, + { + "name": "assessment-objective", + "id": "CFG-06_CFG-06_A01", + "prose": "the circumstances under which changes are to be prevented or restricted are defined." + }, + { + "name": "assessment-objective", + "id": "CFG-06_CFG-06_A02", + "prose": "changes to the configuration of the system are prevented or restricted under organization-defined circumstances." + }, + { + "name": "assessment-objective", + "id": "CFG-06_CFG-06_A03", + "prose": "automated mechanisms used to enforce configuration enforcement are defined." + }, + { + "name": "assessment-objective", + "id": "CFG-06_CFG-06_A04", + "prose": "automated mechanisms used to monitor configuration enforcement are defined." + }, + { + "name": "assessment-objective", + "id": "CFG-06_CFG-06_A05", + "prose": "compliance with software installation policies is enforced using automated mechanisms." + }, + { + "name": "assessment-objective", + "id": "CFG-06_CFG-06_A06", + "prose": "compliance with software installation policies is monitored using automated mechanisms." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:ccm-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cm-03-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cm-11-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:cm-11-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cm-03-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cm-11-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:cm-3-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:cm-3-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:cm-3-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.02.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.02.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.03.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.4.2e" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-5" + } + ] + }, + { + "id": "CFG-06.1", + "title": "Integrity Assurance & Enforcement (IAE)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "CFG-06.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to identify unauthorized deviations from an approved baseline and implement automated resiliency actions to remediate the unauthorized change." + }, + { + "name": "assessment-objective", + "id": "CFG-06.1_CFG-06.1_A01", + "prose": "unauthorized deviations from an approved baseline are identified and automated resiliency actions are implemented to remediate the unauthorized change." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_2.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_2.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_2.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_2.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_2.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_2.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_2.4" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:hdr-3.11-1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:ndr-3.11-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cm-03-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cm-11-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:cm-11-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cm-03-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cm-11-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.4.2e" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.14.7e" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-5" + }, + { + "rel": "part-of", + "href": "#CFG-06" + } + ] + }, + { + "id": "CFG-07", + "title": "Zero-Touch Provisioning (ZTP)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to implement Zero-Touch Provisioning (ZTP), or similar technology, to automatically and securely configure devices upon being added to a network." + }, + { + "name": "assessment-objective", + "id": "CFG-07_CFG-07_A01", + "prose": "automated mechanisms used to perform Zero-Touch Provisioning (ZTP) are defined." + }, + { + "name": "assessment-objective", + "id": "CFG-07_CFG-07_A02", + "prose": "an automated mechanism performs Zero-Touch Provisioning (ZTP) to deploy secure baseline configurations upon devices being added to a network." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:iam-07" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:hdr-3.13-b" + } + ] + }, + { + "id": "CFG-08", + "title": "Sensitive / Regulated Data Access Enforcement", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "CFG-08" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to configure Technology Assets, Applications and/or Services (TAAS) to restrict access to sensitive/regulated data." + }, + { + "name": "assessment-objective", + "id": "CFG-08_CFG-08_A01", + "prose": "information types requiring restricted access to data repositories are defined." + }, + { + "name": "assessment-objective", + "id": "CFG-08_CFG-08_A02", + "prose": "access to data repositories containing organization-defined information types is restricted." + }, + { + "name": "assessment-objective", + "id": "CFG-08_CFG-08_A03", + "prose": "approved authorizations for logical access to CUI are enforced in accordance with applicable access control policies." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-03-11" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.308-a-3" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.312-c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-03-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ac-03-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:ac-03-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-4" + } + ] + }, + { + "id": "CFG-08.1", + "title": "Sensitive / Regulated Data Actions", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to generate event logs whenever sensitive/regulated data is collected, created, updated, deleted and/or archived." + }, + { + "name": "assessment-objective", + "id": "CFG-08.1_CFG-08.1_A01", + "prose": "an automated mechanism generates event logs whenever sensitive / regulated data is collected, created, updated, deleted and/or archived." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:dm-2-1" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.312-c" + }, + { + "rel": "part-of", + "href": "#CFG-08" + } + ] + } + ] + }, + { + "id": "continuous-monitoring", + "title": "Continuous Monitoring", + "controls": [ + { + "id": "MON-01", + "title": "Continuous Monitoring", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "MON-01" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to facilitate the implementation of enterprise-wide monitoring controls." + }, + { + "name": "assessment-objective", + "id": "MON-01_MON-01_A01", + "prose": "the continuous monitoring program is organization-wide." + }, + { + "name": "assessment-objective", + "id": "MON-01_MON-01_A02", + "prose": "monitoring objectives to detect attacks and indicators of potential attacks on the system are defined." + }, + { + "name": "assessment-objective", + "id": "MON-01_MON-01_A03", + "prose": "techniques and methods used to identify unauthorized use of the system are defined." + }, + { + "name": "assessment-objective", + "id": "MON-01_MON-01_A04", + "prose": "system monitoring information to be provided to personnel or roles is defined." + }, + { + "name": "assessment-objective", + "id": "MON-01_MON-01_A05", + "prose": "personnel or roles to whom system monitoring information is to be provided is/are defined." + }, + { + "name": "assessment-objective", + "id": "MON-01_MON-01_A06", + "prose": "a frequency for providing system monitoring to personnel or roles is defined." + }, + { + "name": "assessment-objective", + "id": "MON-01_MON-01_A07", + "prose": "the level of system monitoring activity is adjusted when there is a change in risk to organizational operations and assets, individuals, other organizations or the Nation." + }, + { + "name": "assessment-objective", + "id": "MON-01_MON-01_A08", + "prose": "a legal opinion regarding system monitoring activities is obtained." + }, + { + "name": "assessment-objective", + "id": "MON-01_MON-01_A09", + "prose": "the system is monitored to detect attacks." + }, + { + "name": "assessment-objective", + "id": "MON-01_MON-01_A10", + "prose": "the system is monitored to detect indicators of potential attacks." + }, + { + "name": "assessment-objective", + "id": "MON-01_MON-01_A11", + "prose": "the system is monitored to detect unauthorized connections." + }, + { + "name": "assessment-objective", + "id": "MON-01_MON-01_A12", + "prose": "event monitoring operations are conducted according to documented policies, standards, procedures and/or other organizational directives." + }, + { + "name": "assessment-objective", + "id": "MON-01_MON-01_A13", + "prose": "adequate resources (e.g., people, processes, technologies, data and/or facilities) are provided to support event monitoring operations." + }, + { + "name": "assessment-objective", + "id": "MON-01_MON-01_A14", + "prose": "responsibility and authority for the performance of event monitoring-related activities are assigned to designated personnel." + }, + { + "name": "assessment-objective", + "id": "MON-01_MON-01_A15", + "prose": "personnel performing event monitoring-related activities have the skills and knowledge needed to perform their assigned duties." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_8.0" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_8.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_13.0" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_13.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_8.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_8.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_13.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_8.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_13.6" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss01.03" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss05.07" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:mea01.01" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:log-01" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:mon-01" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:mon-03" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:mon-05" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:mon-07" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:snt-03" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-6.2" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-6.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.15" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.16" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_12.4.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.15" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.16" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-4.3-002" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-6.2-004" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:ct.dm-p8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-37-r2:task-p-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:au-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:si-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:au-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pm-31" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:au-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pm-31" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:si-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:au-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:si-04" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.308-a-1" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.312-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:au-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pm-31" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:au-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pm-31" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:si-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:au-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pm-31" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:si-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:au-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pm-31" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:si-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:pm-31" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:au-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pm-31" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:si-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:au-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:si-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:si-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:au-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:pm-31" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:si-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:au-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:pm-31" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:si-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:au-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:pm-31" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:si-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.3.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.14.6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:nfo-au-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.03.01.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.12.03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.14.06.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.14.06.a.01-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.14.06.a.01-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.14.06.a.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.14.2e" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-7" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ps-04" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:de.cm-01" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:de.cm-03" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:de.cm-06" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:de.cm-09" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:de.ae" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a01-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a09-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.7.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.7.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.7.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:a3.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:a3.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_10.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.7.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.7.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.7.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.7.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.7.3" + } + ] + }, + { + "id": "MON-01.1", + "title": "Intrusion Detection & Prevention Systems (IDS & IPS)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "MON-01.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to implement Intrusion Detection / Prevention Systems (IDS / IPS) technologies on critical systems, key network segments and network choke points." + }, + { + "name": "assessment-objective", + "id": "MON-01.1_MON-01.1_A01", + "prose": "visibility into network traffic at external system interfaces is provided to optimize the effectiveness of monitoring devices." + }, + { + "name": "assessment-objective", + "id": "MON-01.1_MON-01.1_A02", + "prose": "visibility into network traffic at key internal system interfaces is provided to optimize the effectiveness of monitoring devices." + }, + { + "name": "assessment-objective", + "id": "MON-01.1_MON-01.1_A03", + "prose": "individual intrusion detection tools are connected to a system-wide intrusion detection system." + }, + { + "name": "assessment-objective", + "id": "MON-01.1_MON-01.1_A04", + "prose": "individual intrusion detection tools are configured into a system-wide intrusion detection system." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss05.07" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:opa-04" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.16" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.16" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:si-4-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-04-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-04-25" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:si-04-25" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-04-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-04-25" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:si-04-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:si-04-25" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.13.01.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.14.6e" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:de.cm-01" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a01-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a09-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.5.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_11.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_1.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_11.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.5.1.1" + }, + { + "rel": "part-of", + "href": "#MON-01" + } + ] + }, + { + "id": "MON-01.2", + "title": "Automated Tools for Real-Time Analysis", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "MON-01.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to utilize a Security Incident Event Manager (SIEM), or similar automated tool, to support near real-time analysis and incident escalation." + }, + { + "name": "assessment-objective", + "id": "MON-01.2_MON-01.2_A01", + "prose": "automated tools and mechanisms are employed to support a near real-time analysis of events." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:log-03" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:mon-03" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:opa-04" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.16" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.16" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mg-3.2-006" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:si-4-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-48" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-04-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sc-48" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:si-04-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-48" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-04-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:si-04-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:si-04-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sc-48" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:si-04-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-7" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a01-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a09-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.4.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.4.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_10.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_10.4.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.4.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.4.1.1" + }, + { + "rel": "part-of", + "href": "#MON-01" + } + ] + }, + { + "id": "MON-01.3", + "title": "Inbound & Outbound Communications Traffic", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "MON-01.3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to continuously monitor inbound and outbound communications traffic for unusual or unauthorized activities or conditions." + }, + { + "name": "assessment-objective", + "id": "MON-01.3_MON-01.3_A01", + "prose": "criteria for unusual or unauthorized activities or conditions for inbound communications traffic are defined." + }, + { + "name": "assessment-objective", + "id": "MON-01.3_MON-01.3_A02", + "prose": "criteria for unusual or unauthorized activities or conditions for outbound communications traffic are defined." + }, + { + "name": "assessment-objective", + "id": "MON-01.3_MON-01.3_A03", + "prose": "unusual or unauthorized activities or conditions that are to be monitored in outbound communications traffic are defined." + }, + { + "name": "assessment-objective", + "id": "MON-01.3_MON-01.3_A04", + "prose": "inbound communications traffic is monitored to detect unusual or unauthorized activities or conditions." + }, + { + "name": "assessment-objective", + "id": "MON-01.3_MON-01.3_A05", + "prose": "outbound communications traffic is monitored to detect unusual or unauthorized activities or conditions." + }, + { + "name": "assessment-objective", + "id": "MON-01.3_MON-01.3_A06", + "prose": "anomalous or suspicious behavior is defined." + }, + { + "name": "assessment-objective", + "id": "MON-01.3_MON-01.3_A07", + "prose": "systems, applications and services are monitored to detect attacks and indicators of potential attacks." + }, + { + "name": "assessment-objective", + "id": "MON-01.3_MON-01.3_A08", + "prose": "communications at external managed interfaces to the system are monitored." + }, + { + "name": "assessment-objective", + "id": "MON-01.3_MON-01.3_A09", + "prose": "communications at key internal managed interfaces within the system are monitored." + }, + { + "name": "assessment-objective", + "id": "MON-01.3_MON-01.3_A10", + "prose": "the frequency at which to monitor inbound communications traffic for unusual or unauthorized activities or conditions is defined." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:cls-07" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:opa-04" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:opa-08" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:org-2.2-b" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.16" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.16" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:si-4-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-04-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:si-04-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-04-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:si-04-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:si-04-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:si-04-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.14.6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.13.01.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.14.06.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.14.6-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.14.6-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.14.6-c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.13.01.a-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.13.01.a-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.14.06.c-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.14.06.c-02" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:de.cm-01" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a01-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a09-2025" + }, + { + "rel": "part-of", + "href": "#MON-01" + } + ] + }, + { + "id": "MON-01.4", + "title": "System Generated Alerts", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "MON-01.4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management", + "value": "3.5.3.3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to generate, monitor, correlate and respond to alerts from physical, cybersecurity, data protection and supply chain activities to achieve integrated situational awareness." + }, + { + "name": "assessment-objective", + "id": "MON-01.4_MON-01.4_A01", + "prose": "audit records contain information that establishes what type of event occurred." + }, + { + "name": "assessment-objective", + "id": "MON-01.4_MON-01.4_A02", + "prose": "audit records for the selected event types and audit record content are generated." + }, + { + "name": "assessment-objective", + "id": "MON-01.4_MON-01.4_A03", + "prose": "personnel or roles to be alerted when indications of compromise or potential compromise occur is/are defined." + }, + { + "name": "assessment-objective", + "id": "MON-01.4_MON-01.4_A04", + "prose": "compromise indicators are defined." + }, + { + "name": "assessment-objective", + "id": "MON-01.4_MON-01.4_A05", + "prose": "personnel or roles are alerted when system-generated compromise indicators occur." + }, + { + "name": "assessment-objective", + "id": "MON-01.4_MON-01.4_A06", + "prose": "audit records for the selected event types and audit record content specified in 03.03.01 and 03.03.02 are generated." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_8.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_8.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_8.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_8.2" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss06.05" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:log-03" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:cls-08" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:mon-03" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:event-1.4" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-2.8" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-2.8" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.15" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_12.4.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.15" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:si-4-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-04-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:si-04-05" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.312-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-04-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:si-04-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:si-04-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:nfo-si-4-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.03.01.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.03.03.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.14.06.a.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.14.06.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.14.06.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.03.02.a.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.03.03.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-7" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ps-04" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:de.cm-01" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a01-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a09-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.4.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.7.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.7.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.7.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.4.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_10.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_10.4.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_10.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.4.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.7.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.7.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.4.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.7.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.7.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.7.3" + }, + { + "rel": "part-of", + "href": "#MON-01" + } + ] + }, + { + "id": "MON-01.5", + "title": "Wireless Network Monitoring", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to monitor wireless network segments for:\r\n(1) Rogue wireless devices; and\r\n(2) Anomalous and/or hostile activities." + }, + { + "name": "assessment-objective", + "id": "MON-01.5_MON-01.5_A01", + "prose": "a wireless intrusion detection system is employed to detect potential compromises or breaches." + }, + { + "name": "assessment-objective", + "id": "MON-01.5_MON-01.5_A02", + "prose": "an intrusion detection system is employed to monitor wireless communications traffic as the traffic passes from wireless to wireline networks." + }, + { + "name": "assessment-objective", + "id": "MON-01.5_MON-01.5_A03", + "prose": "a wireless intrusion detection system is employed to identify rogue wireless devices." + }, + { + "name": "assessment-objective", + "id": "MON-01.5_MON-01.5_A04", + "prose": "a wireless intrusion detection system is employed to detect attack attempts on the system." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:mon-08" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-2.2-re-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:si-4-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:si-4-15" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-04-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:si-04-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-04-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:si-04-14" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.2" + }, + { + "rel": "part-of", + "href": "#MON-01" + } + ] + }, + { + "id": "MON-01.6", + "title": "Host-Based Devices", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to utilize Host-based Intrusion Detection / Prevention Systems (HIDS / HIPS) to actively alert on or block unwanted activities and send logs to a Security Incident Event Manager (SIEM), or similar automated tool, to maintain situational awareness." + }, + { + "name": "assessment-objective", + "id": "MON-01.6_MON-01.6_A01", + "prose": "host-based monitoring mechanisms to be implemented on system components are defined." + }, + { + "name": "assessment-objective", + "id": "MON-01.6_MON-01.6_A02", + "prose": "system components where host-based monitoring is to be implemented are defined." + }, + { + "name": "assessment-objective", + "id": "MON-01.6_MON-01.6_A03", + "prose": "host-based monitoring mechanisms are implemented on system components." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:si-4-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-04-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-04-23" + }, + { + "rel": "part-of", + "href": "#MON-01" + } + ] + }, + { + "id": "MON-01.7", + "title": "File Integrity Monitoring (FIM)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "MON-01.7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to utilize a File Integrity Monitor (FIM), or similar change-detection technology, on critical Technology Assets, Applications and/or Services (TAAS) to generate alerts for unauthorized modifications." + }, + { + "name": "assessment-objective", + "id": "MON-01.7_MON-01.7_A01", + "prose": "integrity verification tools are employed to detect unauthorized changes to organization-defined software, firmware and/or information." + }, + { + "name": "assessment-objective", + "id": "MON-01.7_MON-01.7_A02", + "prose": "organization-defined actions are taken when unauthorized changes to the software, firmware and/or information, are detected;" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:sap-06" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:data-1.7" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-3.4" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-3.4-re-1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-3.4-2" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:pr.ds-p6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-04-24" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:si-04-24" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.312-c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-04-24" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:si-04-24" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:de.cm-09" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a01-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a02-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a05-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a09-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.3.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.5.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_11.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.3.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_11.5.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_11.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_10.3.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_11.5.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.3.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_11.5.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_11.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.3.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.5.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.6.1" + }, + { + "rel": "part-of", + "href": "#MON-01" + } + ] + }, + { + "id": "MON-01.8", + "title": "Security Event Monitoring", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "MON-01.8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management", + "value": "3.5.4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to review event logs on an ongoing basis and escalate incidents in accordance with established timelines and procedures." + }, + { + "name": "assessment-objective", + "id": "MON-01.8_MON-01.8_A01", + "prose": "the frequency at which system audit records are reviewed and analyzed is defined." + }, + { + "name": "assessment-objective", + "id": "MON-01.8_MON-01.8_A02", + "prose": "system audit records are reviewed and analyzed per an organization-defined frequency for indications and the potential impact of inappropriate or unusual activity." + }, + { + "name": "assessment-objective", + "id": "MON-01.8_MON-01.8_A03", + "prose": "response actions to system security alerts and advisories are identified." + }, + { + "name": "assessment-objective", + "id": "MON-01.8_MON-01.8_A04", + "prose": "system security alerts and advisories are monitored." + }, + { + "name": "assessment-objective", + "id": "MON-01.8_MON-01.8_A05", + "prose": "actions in response to system security alerts and advisories are taken." + }, + { + "name": "assessment-objective", + "id": "MON-01.8_MON-01.8_A06", + "prose": "the frequency of event types selected for logging are reviewed and updated." + }, + { + "name": "assessment-objective", + "id": "MON-01.8_MON-01.8_A07", + "prose": "event types being logged are updated based on the review." + }, + { + "name": "assessment-objective", + "id": "MON-01.8_MON-01.8_A08", + "prose": "a process for determining when to review logged events is defined." + }, + { + "name": "assessment-objective", + "id": "MON-01.8_MON-01.8_A09", + "prose": "the event types selected for logging are reviewed ." + }, + { + "name": "assessment-objective", + "id": "MON-01.8_MON-01.8_A10", + "prose": "system audit records are reviewed and analyzed for indications and the potential impact of inappropriate or unusual activity." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_8.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_8.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_8.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_8.1" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:log-03" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:log-05" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:cls-08" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:event-1.2" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:event-1.7" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-08-01" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-08-02" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-08-03" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-08-04" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.16" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.15-a" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.16" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:au-2-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:au-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:au-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:au-02" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.308-a-1" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.312-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:au-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:au-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:au-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:au-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:au-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:au-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:au-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:au-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:au-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:au-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.3.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.14.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.03.01.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.03.05.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.3.3-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.3.3-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.3.3-c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.14.3-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.14.3-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.14.3-c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.03.01.odp-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.03.01.b-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.03.05.odp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.03.05.a" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:de.cm-01" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:de.ae" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:de.ae-06" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a01-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a09-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.4.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.4.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.4.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.4.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_10.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_10.4.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_10.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_10.4.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_10.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.4.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.4.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.4.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.4.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.4.2" + }, + { + "rel": "part-of", + "href": "#MON-01" + } + ] + }, + { + "id": "MON-01.9", + "title": "Proxy Logging", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to log all Internet-bound requests, in order to identify prohibited activities and assist incident handlers with identifying potentially compromised systems." + }, + { + "name": "assessment-objective", + "id": "MON-01.9_MON-01.9_A01", + "prose": "all external-bound requests are logged in order to identify prohibited activities and assist incident handlers with identifying potentially compromised systems." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "part-of", + "href": "#MON-01" + } + ] + }, + { + "id": "MON-01.10", + "title": "Deactivated Account Activity", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to monitor deactivated accounts for attempted usage." + }, + { + "name": "assessment-objective", + "id": "MON-01.10_MON-01.10_A01", + "prose": "directory services are configured to generate a log for attempted usage of deactivated accounts." + }, + { + "name": "assessment-objective", + "id": "MON-01.10_MON-01.10_A02", + "prose": "personnel or roles are alerted when system-generated alerts from attempted usage of deactivated accounts occur." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a09-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_3.1" + }, + { + "rel": "part-of", + "href": "#MON-01" + } + ] + }, + { + "id": "MON-01.11", + "title": "Automated Response to Suspicious Events", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to implement pre-determined corrective actions in response to detected events that have security incident implications." + }, + { + "name": "assessment-objective", + "id": "MON-01.11_MON-01.11_A01", + "prose": "security violations that automatically disable a system are defined." + }, + { + "name": "assessment-objective", + "id": "MON-01.11_MON-01.11_A02", + "prose": "least-disruptive actions to terminate suspicious events are defined." + }, + { + "name": "assessment-objective", + "id": "MON-01.11_MON-01.11_A03", + "prose": "a configurable capability is implemented to automatically disable the system if security violations are detected." + }, + { + "name": "assessment-objective", + "id": "MON-01.11_MON-01.11_A04", + "prose": "least-disruptive actions are taken upon the detection of suspicious events." + }, + { + "name": "assessment-objective", + "id": "MON-01.11_MON-01.11_A05", + "prose": "incident response personnel (identified by name and/or by role) to be notified of detected suspicious events is/are defined." + }, + { + "name": "assessment-objective", + "id": "MON-01.11_MON-01.11_A06", + "prose": "incident response personnel are notified of detected suspicious events." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:si-4-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ir-04-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-04-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ir-04-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:si-04-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ir-04-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-04-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:si-04-07" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:a3.2.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:a3.5" + }, + { + "rel": "part-of", + "href": "#MON-01" + } + ] + }, + { + "id": "MON-01.12", + "title": "Automated Alerts", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "MON-01.12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to automatically alert incident response personnel to inappropriate or anomalous activities that have potential security incident implications." + }, + { + "name": "assessment-objective", + "id": "MON-01.12_MON-01.12_A01", + "prose": "personnel or roles to be alerted when indications of inappropriate or unusual activity with cybersecurity / data privacy implications occur is/are defined." + }, + { + "name": "assessment-objective", + "id": "MON-01.12_MON-01.12_A02", + "prose": "automated mechanisms used to alert personnel or roles are defined." + }, + { + "name": "assessment-objective", + "id": "MON-01.12_MON-01.12_A03", + "prose": "activities that trigger alerts to personnel or are defined." + }, + { + "name": "assessment-objective", + "id": "MON-01.12_MON-01.12_A04", + "prose": "personnel or roles is/are alerted using automated mechanisms when activities that trigger alerts indicate inappropriate or unusual activities with cybersecurity / data privacy implications." + }, + { + "name": "assessment-objective", + "id": "MON-01.12_MON-01.12_A05", + "prose": "findings are reported to organizational personnel or roles." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:mon-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:si-4-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-04-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:si-04-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:si-04-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-04-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:si-04-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.03.04.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.03.05.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.03.05.b" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:de.ae" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:de.ae-06" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:a3.2.6.1" + }, + { + "rel": "part-of", + "href": "#MON-01" + } + ] + }, + { + "id": "MON-01.13", + "title": "Alert Threshold Tuning", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to \"tune\" event monitoring technologies through analyzing communications traffic/event patterns and developing profiles representing common traffic patterns and/or events." + }, + { + "name": "assessment-objective", + "id": "MON-01.13_MON-01.13_A01", + "prose": "communications traffic for the system is analyzed." + }, + { + "name": "assessment-objective", + "id": "MON-01.13_MON-01.13_A02", + "prose": "event patterns for the system are analyzed." + }, + { + "name": "assessment-objective", + "id": "MON-01.13_MON-01.13_A03", + "prose": "profiles representing common traffic are developed." + }, + { + "name": "assessment-objective", + "id": "MON-01.13_MON-01.13_A04", + "prose": "profiles representing event patterns are developed." + }, + { + "name": "assessment-objective", + "id": "MON-01.13_MON-01.13_A05", + "prose": "traffic profiles are used in tuning system-monitoring devices." + }, + { + "name": "assessment-objective", + "id": "MON-01.13_MON-01.13_A06", + "prose": "event profiles are used in tuning system-monitoring devices." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_13.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_13.11" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_13.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_13.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_13.11" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:opa-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:si-4-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-04-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-04-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:si-04-13" + }, + { + "rel": "part-of", + "href": "#MON-01" + } + ] + }, + { + "id": "MON-01.14", + "title": "Individuals Posing Greater Risk", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to implement enhanced activity monitoring for individuals who have been identified as posing an increased level of risk." + }, + { + "name": "assessment-objective", + "id": "MON-01.14_MON-01.14_A01", + "prose": "additional monitoring of individuals who have been identified as posing an increased level of risk is defined." + }, + { + "name": "assessment-objective", + "id": "MON-01.14_MON-01.14_A02", + "prose": "sources that identify individuals who pose an increased level of risk are defined." + }, + { + "name": "assessment-objective", + "id": "MON-01.14_MON-01.14_A03", + "prose": "additional monitoring is implemented on individuals who have been identified by sources as posing an increased level of risk." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:si-4-19" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-04-19" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-04-19" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:si-4-19" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:si-4-19" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:si-4-19" + }, + { + "rel": "part-of", + "href": "#MON-01" + } + ] + }, + { + "id": "MON-01.15", + "title": "Privileged User Oversight", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "MON-01.15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to implement enhanced activity monitoring for privileged users." + }, + { + "name": "assessment-objective", + "id": "MON-01.15_MON-01.15_A01", + "prose": "additional monitoring of privileged users is defined." + }, + { + "name": "assessment-objective", + "id": "MON-01.15_MON-01.15_A02", + "prose": "additional monitoring of privileged users is implemented." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_3.14" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_3.14" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:iam-09" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:iam-10" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:iam-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:si-4-20" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-04-20" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:si-04-20" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.312-c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-04-20" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:si-04-20" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.07.b" + }, + { + "rel": "part-of", + "href": "#MON-01" + } + ] + }, + { + "id": "MON-01.16", + "title": "Analyze and Prioritize Monitoring Requirements", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "MON-01" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to assess the organization's needs for monitoring and prioritize the monitoring of Technology Assets, Applications and/or Services (TAAS), based on TAAS criticality and the sensitivity of the data it stores, transmits and processes." + }, + { + "name": "assessment-objective", + "id": "MON-01.16_MON-01.16_A01", + "prose": "the organization formally identifies its needs for monitoring." + }, + { + "name": "assessment-objective", + "id": "MON-01.16_MON-01.16_A02", + "prose": "monitoring needs are prioritized by asset, based on (1) asset criticality and (2) the sensitivity of the data it stores, transmits and processes." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed\r\n- NIST 800-171A" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:cls-07" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.312-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.3.3" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a01-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a09-2025" + }, + { + "rel": "part-of", + "href": "#MON-01" + } + ] + }, + { + "id": "MON-01.17", + "title": "Real-Time Session Monitoring", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to enable authorized personnel the ability to remotely view and hear content related to an established user session in real time, in accordance with organizational standards, as well as statutory, regulatory and contractual obligations." + }, + { + "name": "assessment-objective", + "id": "MON-01.17_MON-01.17_A01", + "prose": "the capability for authorized users to remotely view and hear content related to an established user session in real time is provided." + }, + { + "name": "assessment-objective", + "id": "MON-01.17_MON-01.17_A02", + "prose": "the capability for authorized users to remotely view and hear content related to an established user session in real time is implemented." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:au-14-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:au-14-03" + }, + { + "rel": "part-of", + "href": "#MON-01" + } + ] + }, + { + "id": "MON-02", + "title": "Centralized Collection of Security Event Logs", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "MON-02" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to utilize a Security Incident Event Manager (SIEM), or similar automated tool, to support the centralized collection of security-related event logs." + }, + { + "name": "assessment-objective", + "id": "MON-02_MON-02_A01", + "prose": "the frequency at which system audit records are reviewed and analyzed is defined." + }, + { + "name": "assessment-objective", + "id": "MON-02_MON-02_A02", + "prose": "system audit records are reviewed and analyzed per an organization-defined frequency for indications and the potential impact of inappropriate or unusual activity." + }, + { + "name": "assessment-objective", + "id": "MON-02_MON-02_A03", + "prose": "audit records across different repositories are analyzed to gain organization-wide situational awareness." + }, + { + "name": "assessment-objective", + "id": "MON-02_MON-02_A04", + "prose": "automated mechanisms used for integrating audit record review, analysis and reporting processes are defined." + }, + { + "name": "assessment-objective", + "id": "MON-02_MON-02_A05", + "prose": "audit record review, analysis and reporting processes are integrated using organization-defined automated mechanisms." + }, + { + "name": "assessment-objective", + "id": "MON-02_MON-02_A06", + "prose": "the frequency or situation requiring logging for each specified event type is defined." + }, + { + "name": "assessment-objective", + "id": "MON-02_MON-02_A07", + "prose": "the event logging function is coordinated with other organizational entities requiring audit-related information to guide and inform the selection criteria for events to be logged." + }, + { + "name": "assessment-objective", + "id": "MON-02_MON-02_A08", + "prose": "the event types selected for logging are reviewed / updated organization-defined frequency." + }, + { + "name": "assessment-objective", + "id": "MON-02_MON-02_A09", + "prose": "a rationale is provided for why the event types selected for logging are deemed to be adequate to support after-the-fact investigations of incidents." + }, + { + "name": "assessment-objective", + "id": "MON-02_MON-02_A10", + "prose": "system audit records are reviewed and analyzed per an organization-defined frequency for indications of organization-defined inappropriate or unusual activity and the potential impact of the inappropriate or unusual activity." + }, + { + "name": "assessment-objective", + "id": "MON-02_MON-02_A11", + "prose": "findings are reported to organization-defined personnel or roles." + }, + { + "name": "assessment-objective", + "id": "MON-02_MON-02_A12", + "prose": "the level of audit record review, analysis and reporting within the system is adjusted when there is a change in risk based on law enforcement information, intelligence information or other credible sources of information." + }, + { + "name": "assessment-objective", + "id": "MON-02_MON-02_A13", + "prose": "system audit records are reviewed and analyzed for indications and the potential impact of inappropriate or unusual activity." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_3.14" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_8.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_8.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_8.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_8.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_8.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_8.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_8.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_8.8" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_8.9" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_8.12" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_13.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_8.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_8.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_8.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_8.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_8.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_8.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_8.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_8.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_8.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_8.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_8.8" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_8.9" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_13.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_3.14" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_8.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_8.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_8.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_8.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_8.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_8.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_8.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_8.8" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_8.9" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_8.12" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_13.1" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:mon-07" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-2.8-re-1" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.15" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_12.4.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.15" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:au-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:au-2-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:au-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ir-4-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:si-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:au-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:au-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ir-04-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:au-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:au-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ir-04-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:si-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:au-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:au-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:si-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:ir-04-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:au-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:au-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ir-04-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:au-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:au-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:si-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:au-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:au-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:si-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:au-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:au-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ir-04-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:si-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:au-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:ir-04-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:au-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:au-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:si-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:au-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:au-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:si-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:au-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:si-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:au-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:si-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:au-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:au-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:si-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:au-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:au-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:si-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.3.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.3.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.3.5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.3.6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.3.8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.3.9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.03.05.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.03.05.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.03.05.odp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.03.05.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.03.05.c-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-7" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:de.ae-03" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:de.ae-06" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a09-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.4.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.4.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_10.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_10.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_10.4.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.4.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.4.1.1" + } + ] + }, + { + "id": "MON-02.1", + "title": "Correlate Monitoring Information", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "MON-02.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to correlate both technical and non-technical information from across the enterprise by a Security Incident Event Manager (SIEM) or similar automated tool, to enhance organization-wide situational awareness." + }, + { + "name": "assessment-objective", + "id": "MON-02.1_MON-02.1_A01", + "prose": "authorized use of the system is defined." + }, + { + "name": "assessment-objective", + "id": "MON-02.1_MON-02.1_A02", + "prose": "unauthorized use of the system is identified." + }, + { + "name": "assessment-objective", + "id": "MON-02.1_MON-02.1_A03", + "prose": "incident information and individual incident responses are correlated to achieve an organization-wide perspective on incident awareness and response." + }, + { + "name": "assessment-objective", + "id": "MON-02.1_MON-02.1_A04", + "prose": "audit records across different repositories are correlated to gain organization-wide situational awareness." + }, + { + "name": "assessment-objective", + "id": "MON-02.1_MON-02.1_A05", + "prose": "audit record review, analysis and reporting processes for investigation and response to indications of unlawful, unauthorized, suspicious or unusual activity are defined." + }, + { + "name": "assessment-objective", + "id": "MON-02.1_MON-02.1_A06", + "prose": "defined audit record review, analysis and reporting processes are correlated." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_3.14" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_8.12" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_13.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_13.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_3.14" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_8.12" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_13.6" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.15" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_12.4.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.15" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:au-6-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ir-4-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:si-4-16" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:au-06-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:au-06-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ir-04-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-04-16" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ir-04-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:au-06-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:ir-04-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:au-06-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:au-06-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ir-04-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-04-16" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:au-06-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:au-06-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ir-04-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:au-06-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:au-06-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:ir-04-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:si-04-16" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:au-6-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:au-6-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.3.5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.14.7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.03.05.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.03.05.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.3.5-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.3.5-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.14.7-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.14.7-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.03.05.c-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-7" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:de.ae-03" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:de.ae-06" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a09-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.4.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.10.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.4.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_10.4.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.4.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.10.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.4.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.10.5" + }, + { + "rel": "part-of", + "href": "#MON-02" + } + ] + }, + { + "id": "MON-02.2", + "title": "Central Review & Analysis", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "MON-02.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to centrally collect, review and analyze audit records from multiple sources." + }, + { + "name": "assessment-objective", + "id": "MON-02.2_MON-02.2_A01", + "prose": "the capability to centrally review and analyze audit records from multiple components within the system is provided." + }, + { + "name": "assessment-objective", + "id": "MON-02.2_MON-02.2_A02", + "prose": "the capability to centrally review and analyze audit records from multiple components within the system is implemented." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_8.11" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_8.11" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_8.11" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:mon-07" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-2.8-re-1" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_6.8" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.15" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.16" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_12.4.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_6.8" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.15" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.16" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:ct.dm-p8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:au-6-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:au-06-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:au-06-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.03.01.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.03.05.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.03.05.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.4.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.4.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_10.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_10.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_10.4.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.4.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.4.1.1" + }, + { + "rel": "part-of", + "href": "#MON-02" + } + ] + }, + { + "id": "MON-02.3", + "title": "Integration of Scanning & Other Monitoring Information", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "MON-02.3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to integrate the analysis of audit records with analysis of vulnerability scanners, network performance, system monitoring and other sources to further enhance the ability to identify inappropriate or unusual activity." + }, + { + "name": "assessment-objective", + "id": "MON-02.3_MON-02.3_A01", + "prose": "data/information collected from other sources to be analyzed is defined." + }, + { + "name": "assessment-objective", + "id": "MON-02.3_MON-02.3_A02", + "prose": "information from monitoring physical, cyber and supply chain activities are correlated to achieve integrated, organization-wide situational awareness." + }, + { + "name": "assessment-objective", + "id": "MON-02.3_MON-02.3_A03", + "prose": "analysis of audit records is integrated with analysis of organization-specific criteria to further enhance the ability to identify inappropriate or unusual activity." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_3.14" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_8.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_8.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_8.12" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_13.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_8.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_8.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_13.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_3.14" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_8.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_8.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_8.12" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_13.6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:au-6-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:au-06-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-04-17" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:au-06-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:au-06-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-04-17" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:au-06-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:au-06-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:si-04-17" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:si-4-17" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:si-4-17" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:si-4-17" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.03.05.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-7" + }, + { + "rel": "part-of", + "href": "#MON-02" + } + ] + }, + { + "id": "MON-02.4", + "title": "Correlation with Physical Monitoring", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to correlate information from audit records with information obtained from monitoring physical access to further enhance the ability to identify suspicious, inappropriate, unusual or malevolent activity." + }, + { + "name": "assessment-objective", + "id": "MON-02.4_MON-02.4_A01", + "prose": "information from audit records is correlated with information obtained from monitoring physical access to further enhance the ability to identify suspicious, inappropriate, unusual or malevolent activity." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:au-6-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:au-06-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:au-06-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:au-06-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:au-06-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:au-06-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-4" + }, + { + "rel": "part-of", + "href": "#MON-02" + } + ] + }, + { + "id": "MON-02.5", + "title": "Permitted Actions", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to specify the permitted actions for both users and Technology Assets, Applications and/or Services (TAAS) associated with the review, analysis and reporting of audit information." + }, + { + "name": "assessment-objective", + "id": "MON-02.5_MON-02.5_A01", + "prose": "the permitted actions for each organization-defined criteria (e.g., system process, role or user) associated with the review, analysis and reporting of audit record information are specified." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:au-6-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:au-06-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:au-06-07" + }, + { + "rel": "part-of", + "href": "#MON-02" + } + ] + }, + { + "id": "MON-02.6", + "title": "Audit Level Adjustments", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "MON-02.6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to adjust the level of audit review, analysis and reporting based on evolving threat information from law enforcement, industry associations or other credible sources of threat intelligence." + }, + { + "name": "assessment-objective", + "id": "MON-02.6_MON-02.6_A01", + "prose": "system audit records are reviewed and analyzed per an organization-defined frequency for indications of organization-defined inappropriate or unusual activity and the potential impact of the inappropriate or unusual activity." + }, + { + "name": "assessment-objective", + "id": "MON-02.6_MON-02.6_A02", + "prose": "findings are reported to organization-defined personnel or roles." + }, + { + "name": "assessment-objective", + "id": "MON-02.6_MON-02.6_A03", + "prose": "the level of audit record review, analysis and reporting within the system is adjusted when there is a change in risk based on law enforcement information, intelligence information or other credible sources of information." + }, + { + "name": "assessment-objective", + "id": "MON-02.6_MON-02.6_A04", + "prose": "the frequency at which system audit records are reviewed and analyzed is defined." + }, + { + "name": "assessment-objective", + "id": "MON-02.6_MON-02.6_A05", + "prose": "inappropriate or unusual activity is defined." + }, + { + "name": "assessment-objective", + "id": "MON-02.6_MON-02.6_A06", + "prose": "personnel or roles to receive findings from reviews and analyses of system records is/are defined." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:au-6-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:au-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:au-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:au-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:au-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:au-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:au-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:au-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:au-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:au-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:au-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:au-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:au-6" + }, + { + "rel": "part-of", + "href": "#MON-02" + } + ] + }, + { + "id": "MON-02.7", + "title": "System-Wide / Time-Correlated Audit Trail", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "MON-02.7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to compile audit records into an organization-wide audit trail that is time-correlated." + }, + { + "name": "assessment-objective", + "id": "MON-02.7_MON-02.7_A01", + "prose": "system components from which audit records are to be compiled into a system-wide (logical or physical) audit trail are defined." + }, + { + "name": "assessment-objective", + "id": "MON-02.7_MON-02.7_A02", + "prose": "level of tolerance for the relationship between timestamps of individual records in the audit trail is defined." + }, + { + "name": "assessment-objective", + "id": "MON-02.7_MON-02.7_A03", + "prose": "audit records from organization-defined system components are compiled into a system-wide (logical or physical) audit trail that is time-correlated to within organization-defined level of tolerance." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_8.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_8.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_8.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_8.2" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:mon-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:au-12-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:au-12-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:au-12-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:au-12-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:au-12-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.03.01.a" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.6.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.6.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.6.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.6.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_10.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_10.6.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_10.6.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.6.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.6.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.6.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.6.3" + }, + { + "rel": "part-of", + "href": "#MON-02" + } + ] + }, + { + "id": "MON-02.8", + "title": "Changes by Authorized Individuals", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to provide privileged users or roles the capability to change the auditing to be performed on specified system components, based on specific event criteria within specified time thresholds." + }, + { + "name": "assessment-objective", + "id": "MON-02.8_MON-02.8_A01", + "prose": "individuals or roles authorized to change the logging on system components are defined." + }, + { + "name": "assessment-objective", + "id": "MON-02.8_MON-02.8_A02", + "prose": "system components on which logging is to be performed are defined." + }, + { + "name": "assessment-objective", + "id": "MON-02.8_MON-02.8_A03", + "prose": "selectable event criteria with which change logging is to be performed are defined." + }, + { + "name": "assessment-objective", + "id": "MON-02.8_MON-02.8_A04", + "prose": "the capability for organization-defined individuals or roles to change the logging to be performed on organization-defined system components based on organization-defined selectable event criteria within organization-defined time thresholds is provided / implemented." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:au-12-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:au-12-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:au-12-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:au-12-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:au-12-03" + }, + { + "rel": "part-of", + "href": "#MON-02" + } + ] + }, + { + "id": "MON-02.9", + "title": "Inventory of Technology Asset Event Logging", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to maintain a current and accurate inventory of technology-related Technology Assets, Applications and/or Services (TAAS) being logged." + }, + { + "name": "assessment-objective", + "id": "MON-02.9_MON-02.9_A01", + "prose": "a current and accurate inventory of technology assets being logged is maintained." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "part-of", + "href": "#MON-02" + } + ] + }, + { + "id": "MON-03", + "title": "Content of Event Logs", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "MON-03" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to configure Technology Assets, Applications and/or Services (TAAS) to produce event logs that contain sufficient information to, at a minimum:\r\n(1) Establish what type of event occurred;\r\n(2) When (date and time) the event occurred;\r\n(3) Where the event occurred;\r\n(4) The source of the event;\r\n(5) The outcome (success or failure) of the event; and \r\n(6) The identity of any user/subject associated with the event." + }, + { + "name": "assessment-objective", + "id": "MON-03_MON-03_A01", + "prose": "the content of audit records needed to support monitoring, analysis, investigation and reporting of unlawful or unauthorized system activity is defined." + }, + { + "name": "assessment-objective", + "id": "MON-03_MON-03_A02", + "prose": "audit records contain information that establishes what type of event occurred." + }, + { + "name": "assessment-objective", + "id": "MON-03_MON-03_A03", + "prose": "audit records contain information that establishes when the event occurred." + }, + { + "name": "assessment-objective", + "id": "MON-03_MON-03_A04", + "prose": "audit records contain information that establishes where the event occurred." + }, + { + "name": "assessment-objective", + "id": "MON-03_MON-03_A05", + "prose": "audit records contain information that establishes the source of the event." + }, + { + "name": "assessment-objective", + "id": "MON-03_MON-03_A06", + "prose": "audit records contain information that establishes the outcome of the event." + }, + { + "name": "assessment-objective", + "id": "MON-03_MON-03_A07", + "prose": "audit records contain information that establishes the identity of the individuals, subjects, objects, or entities associated with the event." + }, + { + "name": "assessment-objective", + "id": "MON-03_MON-03_A08", + "prose": "event logs needed (e.g., event types to be logged) to enable the monitoring, analysis, investigation and reporting of unlawful or unauthorized system activity are specified." + }, + { + "name": "assessment-objective", + "id": "MON-03_MON-03_A09", + "prose": "a rationale is provided for why the event types selected for logging are deemed to be adequate to support after-the-fact investigations of incidents." + }, + { + "name": "assessment-objective", + "id": "MON-03_MON-03_A10", + "prose": "audit records, once created, contain the defined content." + }, + { + "name": "assessment-objective", + "id": "MON-03_MON-03_A11", + "prose": "the frequency of event types selected for logging are reviewed / updated." + }, + { + "name": "assessment-objective", + "id": "MON-03_MON-03_A12", + "prose": "event types selected for logging within the system are defined." + }, + { + "name": "assessment-objective", + "id": "MON-03_MON-03_A13", + "prose": "the following event types are specified for logging within the system: ." + }, + { + "name": "assessment-objective", + "id": "MON-03_MON-03_A14", + "prose": "the event types selected for logging are updated ." + }, + { + "name": "assessment-objective", + "id": "MON-03_MON-03_A15", + "prose": "additional information for audit records is provided, as needed." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_3.14" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_8.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_8.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_8.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_8.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_8.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_3.14" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_8.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_8.5" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss06.05" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:log-09" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:log-12" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:mon-03" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:mon-06" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:event-1.5" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-2.8" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.15" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_12.4.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.15" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:au-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:dm-2-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:au-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:au-03" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.312-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:au-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:au-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:au-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:au-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:au-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:au-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:au-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:au-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:au-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:au-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.3.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.03.01.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.03.02.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.03.02.a.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.03.02.a.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.03.02.a.03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.03.02.a.04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.03.02.a.05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.03.02.a.06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.03.02.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.3.1-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.3.1-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.3.1-d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.3.2-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.3.2-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.03.01.odp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.03.01.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.03.01.b-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.03.02.a.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.03.02.a.03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.03.02.a.04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.03.02.a.05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.03.02.a.06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.03.02.b" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ps-04" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a09-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.2.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.2.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.2.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.2.1.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.2.1.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.2.1.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.2.1.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_6.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.2.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.2.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.2.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.2.1.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.2.1.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.2.1.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.2.1.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_10.2.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_10.2.1.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_10.2.1.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_10.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.2.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.2.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.2.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.2.1.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.2.1.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.2.1.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.2.1.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.2.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.2.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.2.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.2.1.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.2.1.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.2.1.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.2.1.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.2.2" + } + ] + }, + { + "id": "MON-03.1", + "title": "Sensitive Event Log Information", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to protect sensitive/regulated data contained in log files." + }, + { + "name": "assessment-objective", + "id": "MON-03.1_MON-03.1_A01", + "prose": "additional information to be included in audit records is defined." + }, + { + "name": "assessment-objective", + "id": "MON-03.1_MON-03.1_A02", + "prose": "generated audit records contain the following organization-defined additional information." + }, + { + "name": "overview", + "class": "errata", + "prose": "- renamed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_3.14" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_3.14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:au-3-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:au-6-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:au-03-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:au-06-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:au-03-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:au-06-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:au-03-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:au-06-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:au-03-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:au-06-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:au-03-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:au-06-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.3.8" + }, + { + "rel": "part-of", + "href": "#MON-03" + } + ] + }, + { + "id": "MON-03.2", + "title": "Audit Trails", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "MON-03.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to link system access to individual users or service accounts." + }, + { + "name": "assessment-objective", + "id": "MON-03.2_MON-03.2_A01", + "prose": "the content of the audit records needed to support the ability to uniquely trace users to their actions is defined." + }, + { + "name": "assessment-objective", + "id": "MON-03.2_MON-03.2_A02", + "prose": "audit records are created (generated)." + }, + { + "name": "assessment-objective", + "id": "MON-03.2_MON-03.2_A03", + "prose": "audit records contain information that establishes the identity of any individuals, subjects or objects/entities associated with the event." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.312-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.03.01.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.3.1-c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.3.2-a" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a09-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.2.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.2.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.2.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.2.1.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.2.1.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.2.1.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.2.1.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.2.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.2.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.2.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.2.1.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.2.1.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.2.1.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.2.1.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_10.2.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_10.2.1.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_10.2.1.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_10.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.2.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.2.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.2.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.2.1.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.2.1.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.2.1.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.2.1.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.2.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.2.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.2.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.2.1.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.2.1.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.2.1.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.2.1.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.2.2" + }, + { + "rel": "part-of", + "href": "#MON-03" + } + ] + }, + { + "id": "MON-03.3", + "title": "Privileged Functions Logging", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "MON-03.3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to log and review the actions of users and/or services with elevated privileges." + }, + { + "name": "assessment-objective", + "id": "MON-03.3_MON-03.3_A01", + "prose": "a full text analysis of logged privileged commands in a physically distinct component or subsystem of the system or other system that is dedicated to that analysis is performed." + }, + { + "name": "assessment-objective", + "id": "MON-03.3_MON-03.3_A02", + "prose": "the execution of privileged functions is logged." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_8.8" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_8.8" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_8.8" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:iam-09" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:iam-10" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:iam-11" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.15" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_12.4.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_12.4.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.15" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:au-6-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:au-06-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:au-06-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:au-06-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.07.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.07.b" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a09-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.2.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.2.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.2.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.2.1.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.2.1.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.2.1.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.2.1.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.2.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.2.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.2.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.2.1.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.2.1.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.2.1.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.2.1.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_10.2.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_10.2.1.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_10.2.1.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.2.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.2.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.2.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.2.1.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.2.1.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.2.1.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.2.1.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.2.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.2.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.2.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.2.1.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.2.1.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.2.1.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.2.1.7" + }, + { + "rel": "part-of", + "href": "#MON-03" + } + ] + }, + { + "id": "MON-03.4", + "title": "Verbosity Logging for Boundary Devices", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to verbosely log all traffic (both allowed and blocked) arriving at network boundary devices, including firewalls, Intrusion Detection / Prevention Systems (IDS/IPS) and inbound and outbound proxies." + }, + { + "name": "assessment-objective", + "id": "MON-03.4_MON-03.4_A01", + "prose": "the level of verbosity for information to be included in audit records is defined." + }, + { + "name": "assessment-objective", + "id": "MON-03.4_MON-03.4_A02", + "prose": "generated audit records contain the specified level of verbosity." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a09-2025" + }, + { + "rel": "part-of", + "href": "#MON-03" + } + ] + }, + { + "id": "MON-03.5", + "title": "Limit Personal Data (PD) In Audit Records", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to limit Personal Data (PD) contained in audit records to the elements identified in the Data Privacy Risk Assessment (DPRA)." + }, + { + "name": "assessment-objective", + "id": "MON-03.5_MON-03.5_A01", + "prose": "elements identified in the privacy risk assessment are defined." + }, + { + "name": "assessment-objective", + "id": "MON-03.5_MON-03.5_A02", + "prose": "Personal Data (PD) contained in audit records is limited to organization-defined elements identified in the privacy risk assessment." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:au-03-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:au-03-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:au-03-03" + }, + { + "rel": "part-of", + "href": "#MON-03" + } + ] + }, + { + "id": "MON-03.6", + "title": "Centralized Management of Event Log Content", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to centrally manage and update the criteria to be captured in event logs generated by organization-defined system components." + }, + { + "name": "assessment-objective", + "id": "MON-03.6_MON-03.6_A01", + "prose": "cybersecurity / data privacy controls and related processes to be centrally managed are defined." + }, + { + "name": "assessment-objective", + "id": "MON-03.6_MON-03.6_A02", + "prose": "cybersecurity / data privacy controls and related processes are centrally managed." + }, + { + "name": "overview", + "class": "errata", + "prose": "- renamed\r\n- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:au-3-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pl-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pl-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pl-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pl-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:pl-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:pl-9" + }, + { + "rel": "part-of", + "href": "#MON-03" + } + ] + }, + { + "id": "MON-03.7", + "title": "Database Logging", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure databases produce audit records that contain sufficient information to monitor database activities." + }, + { + "name": "assessment-objective", + "id": "MON-03.7_MON-03.7_A01", + "prose": "the content of database audit records needed to support the ability to uniquely trace account actions is defined." + }, + { + "name": "assessment-objective", + "id": "MON-03.7_MON-03.7_A02", + "prose": "database audit records contain information that establishes the identity of any individuals, subjects or objects/entities associated with the event." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.3.2-a" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_7.2.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_7.2.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_7.2.6" + }, + { + "rel": "part-of", + "href": "#MON-03" + } + ] + }, + { + "id": "MON-04", + "title": "Event Log Storage Capacity", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to allocate and proactively manage sufficient event log storage capacity to reduce the likelihood of such capacity being exceeded." + }, + { + "name": "assessment-objective", + "id": "MON-04_MON-04_A01", + "prose": "event log retention requirements are defined." + }, + { + "name": "assessment-objective", + "id": "MON-04_MON-04_A02", + "prose": "event log storage capacity is allocated to accommodate organization-defined event log retention requirements." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_8.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_8.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_8.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_8.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_8.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_8.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_8.1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-2.9" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-2.9-a" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-2.9-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:au-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:au-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:au-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:au-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:au-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:au-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:au-04" + } + ] + }, + { + "id": "MON-05", + "title": "Response To Event Log Processing Failures", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "MON-05" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to alert appropriate personnel in the event of a log processing failure and take actions to remedy the disruption." + }, + { + "name": "assessment-objective", + "id": "MON-05_MON-05_A01", + "prose": "personnel or roles to be alerted in the event of an event logging process failure are identified." + }, + { + "name": "assessment-objective", + "id": "MON-05_MON-05_A02", + "prose": "types of event logging process failures for which alert will be generated are defined." + }, + { + "name": "assessment-objective", + "id": "MON-05_MON-05_A03", + "prose": "organization-defined additional actions are taken." + }, + { + "name": "assessment-objective", + "id": "MON-05_MON-05_A04", + "prose": "organizational personnel or roles are alerted in the event of an audit logging process failure within an organization-defined time period." + }, + { + "name": "assessment-objective", + "id": "MON-05_MON-05_A05", + "prose": "the time period for organizational personnel or roles receiving audit logging process failure alerts is defined." + }, + { + "name": "assessment-objective", + "id": "MON-05_MON-05_A06", + "prose": "additional actions to be taken in the event of an audit logging process failure are defined." + }, + { + "name": "assessment-objective", + "id": "MON-05_MON-05_A07", + "prose": "organizational personnel or roles are alerted in the event of an audit logging process failure within ." + }, + { + "name": "assessment-objective", + "id": "MON-05_MON-05_A08", + "prose": "the following additional actions are taken: ." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-2.10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:au-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:au-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:au-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:au-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:au-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:au-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:au-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.3.4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.03.04.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.3.4-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.3.4-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.3.4-c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.03.04.odp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.03.04.odp-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.03.04.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.03.04.b" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a09-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:a3.3.1" + } + ] + }, + { + "id": "MON-05.1", + "title": "Real-Time Alerts of Event Logging Failure", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to provide 24x7x365 near real-time alerting capability when an event log processing failure occurs." + }, + { + "name": "assessment-objective", + "id": "MON-05.1_MON-05.1_A01", + "prose": "real-time period requiring alerts when event log failure events occur is defined." + }, + { + "name": "assessment-objective", + "id": "MON-05.1_MON-05.1_A02", + "prose": "personnel, roles, and/or locations to be alerted in real time when event log failure events occur is/are defined." + }, + { + "name": "assessment-objective", + "id": "MON-05.1_MON-05.1_A03", + "prose": "event logging failure events requiring real-time alerts are defined." + }, + { + "name": "assessment-objective", + "id": "MON-05.1_MON-05.1_A04", + "prose": "an alert is provided within organization-defined real-time period to organization-defined personnel, roles, and/or locations when organization-defined event logging failure events requiring real-time alerts occur." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mg-3.2-006" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:au-5-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:si-4-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:au-05-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-04-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:si-04-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:au-05-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:si-04-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:au-05-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-04-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:au-05-02" + }, + { + "rel": "part-of", + "href": "#MON-05" + } + ] + }, + { + "id": "MON-05.2", + "title": "Event Log Storage Capacity Alerting", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to alert appropriate personnel when the allocated volume reaches an organization-defined percentage of maximum event log storage capacity." + }, + { + "name": "assessment-objective", + "id": "MON-05.2_MON-05.2_A01", + "prose": "personnel, roles, and/or locations to be warned when allocated event log storage volume reaches a percentage of repository maximum event log storage capacity is defined." + }, + { + "name": "assessment-objective", + "id": "MON-05.2_MON-05.2_A02", + "prose": "time period for defined personnel, roles, and/or locations to be warned when allocated event log storage volume reaches a percentage of repository maximum event log storage capacity is defined." + }, + { + "name": "assessment-objective", + "id": "MON-05.2_MON-05.2_A03", + "prose": "percentage of repository maximum event log storage capacity is defined." + }, + { + "name": "assessment-objective", + "id": "MON-05.2_MON-05.2_A04", + "prose": "a warning is provided per an organization-defined time period when allocated event log storage volume reaches organization-defined percentage of repository maximum event log storage capacity." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-2.9-re-1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-2.9-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:au-5-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:au-05-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:au-05-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:au-05-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:au-05-01" + }, + { + "rel": "part-of", + "href": "#MON-05" + } + ] + }, + { + "id": "MON-06", + "title": "Monitoring Reporting", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "MON-06" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to provide an event log report generation capability to aid in detecting and assessing anomalous activities." + }, + { + "name": "assessment-objective", + "id": "MON-06_MON-06_A01", + "prose": "system components that provide an audit record generation capability for the events types are defined." + }, + { + "name": "assessment-objective", + "id": "MON-06_MON-06_A02", + "prose": "audit records include organization-defined audit record content requirements." + }, + { + "name": "assessment-objective", + "id": "MON-06_MON-06_A03", + "prose": "personnel or roles allowed to select the event types that are to be logged by specific components of the system is/are defined." + }, + { + "name": "assessment-objective", + "id": "MON-06_MON-06_A04", + "prose": "an audit record reduction and report generation capability is implemented that supports on-demand audit record review, analysis and reporting requirements and after-the-fact investigations of incidents that does not alter the original content or time ordering of audit records." + }, + { + "name": "assessment-objective", + "id": "MON-06_MON-06_A05", + "prose": "fields within audit records that can be processed, sorted or searched are defined." + }, + { + "name": "assessment-objective", + "id": "MON-06_MON-06_A06", + "prose": "findings are reported to organizational personnel or roles." + }, + { + "name": "assessment-objective", + "id": "MON-06_MON-06_A07", + "prose": "an audit record reduction and report generation capability that supports audit record review is implemented." + }, + { + "name": "assessment-objective", + "id": "MON-06_MON-06_A08", + "prose": "an audit record reduction and report generation capability that supports audit record analysis is implemented." + }, + { + "name": "assessment-objective", + "id": "MON-06_MON-06_A09", + "prose": "an audit record reduction and report generation capability that supports audit record reporting requirements is implemented." + }, + { + "name": "assessment-objective", + "id": "MON-06_MON-06_A10", + "prose": "an audit record reduction and report generation capability that supports after-the-fact investigations of incidents is implemented." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_6.8" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.15" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_12.4.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_6.8" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.15" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:au-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:au-7-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:au-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:au-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:au-07-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:au-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:au-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:au-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:au-07-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:au-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:au-07-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:au-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:au-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:au-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:au-07-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:au-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:au-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:au-07-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:au-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:au-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:au-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:au-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:au-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:au-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.3.6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.03.05.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.03.06.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.3.6-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.3.6-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.03.05.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.03.06.a-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.03.06.a-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.03.06.a-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.03.06.a-04" + } + ] + }, + { + "id": "MON-06.1", + "title": "Query Parameter Audits of Personal Data (PD)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to provide and implement the capability for auditing the parameters of user query events for data sets containing Personal Data (PD)." + }, + { + "name": "assessment-objective", + "id": "MON-06.1_MON-06.1_A01", + "prose": "the capability to audit the parameters of user query events for data sets containing Personal Data (PD) is provided." + }, + { + "name": "assessment-objective", + "id": "MON-06.1_MON-06.1_A02", + "prose": "the capability to audit the parameters of user query events for data sets containing Personal Data (PD) is implemented." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:au-12-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:au-12-04" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a09-2025" + }, + { + "rel": "part-of", + "href": "#MON-06" + } + ] + }, + { + "id": "MON-06.2", + "title": "Trend Analysis Reporting", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to employ trend analyses to determine if security control implementations, the frequency of continuous monitoring activities, and/or the types of activities used in the continuous monitoring process need to be modified based on empirical data." + }, + { + "name": "assessment-objective", + "id": "MON-06.2_MON-06.2_A01", + "prose": "trend analysis is employed to determine if control implementations used in the continuous monitoring process need to be modified based on empirical data." + }, + { + "name": "assessment-objective", + "id": "MON-06.2_MON-06.2_A02", + "prose": "trend analysis is employed to determine if the frequency of continuous monitoring activities used in the continuous monitoring process needs to be modified based on empirical data." + }, + { + "name": "assessment-objective", + "id": "MON-06.2_MON-06.2_A03", + "prose": "trend analysis is employed to determine if the types of activities used in the continuous monitoring process need to be modified based on empirical data." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ca-7-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ca-07-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ca-07-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:ca-07-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ca-7-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ca-7-3" + }, + { + "rel": "part-of", + "href": "#MON-06" + } + ] + }, + { + "id": "MON-07", + "title": "Time Stamps", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "MON-07" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to configure Technology Assets, Applications and/or Services (TAAS) to use an authoritative time source to generate time stamps for event logs." + }, + { + "name": "assessment-objective", + "id": "MON-07_MON-07_A01", + "prose": "timestamps are recorded for audit records that meet organization-defined granularity of time measurement and that use Coordinated Universal Time, have a fixed local time offset from Coordinated Universal Time or include the local time offset as part of the timestamp." + }, + { + "name": "assessment-objective", + "id": "MON-07_MON-07_A02", + "prose": "internal system clocks are used to generate time stamps for audit records." + }, + { + "name": "assessment-objective", + "id": "MON-07_MON-07_A03", + "prose": "granularity of time measurement for audit record time stamps is defined." + }, + { + "name": "assessment-objective", + "id": "MON-07_MON-07_A04", + "prose": "time stamps are recorded for audit records that meet organization-defined granularity of time measurement." + }, + { + "name": "assessment-objective", + "id": "MON-07_MON-07_A05", + "prose": "time stamps are recorded for audit records that meet ." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-2.11" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-2.11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:au-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:au-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:au-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:au-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:au-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:au-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:au-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:au-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.03.02.a.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.03.07.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.3.7-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.3.7-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.03.07.odp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.03.07.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.03.07.b-01" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a09-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.6.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.6.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.6.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.6.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_10.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_10.6.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_10.6.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.6.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.6.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.6.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.6.3" + } + ] + }, + { + "id": "MON-07.1", + "title": "Synchronization With Authoritative Time Source", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "MON-07.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to synchronize internal system clocks with an authoritative time source." + }, + { + "name": "assessment-objective", + "id": "MON-07.1_MON-07.1_A01", + "prose": "an authoritative source with which to compare and synchronize internal system clocks is specified." + }, + { + "name": "assessment-objective", + "id": "MON-07.1_MON-07.1_A02", + "prose": "internal system clocks used to generate time stamps for audit records are compared to and synchronized with the specified authoritative time source." + }, + { + "name": "assessment-objective", + "id": "MON-07.1_MON-07.1_A03", + "prose": "system clocks are synchronized within and between systems and system components." + }, + { + "name": "assessment-objective", + "id": "MON-07.1_MON-07.1_A04", + "prose": "the frequency at which to compare the internal system clocks with the authoritative time source is defined." + }, + { + "name": "assessment-objective", + "id": "MON-07.1_MON-07.1_A05", + "prose": "the internal system clocks are synchronized with the authoritative time source when the time difference is greater than an organization-defined time period." + }, + { + "name": "assessment-objective", + "id": "MON-07.1_MON-07.1_A06", + "prose": "time stamps are recorded for audit records that use Coordinated Universal Time (UTC), have a fixed local time offset from UTC, or include the local time offset as part of the time stamp." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_8.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_8.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_8.4" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-2.11-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:au-8-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-45" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-45-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-45" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-45-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:sc-45" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sc-45" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sc-45" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.3.7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.03.07.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.3.7-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.3.7-c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.03.07.b-02" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a09-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.6.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.6.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.6.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.6.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_10.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_10.6.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_10.6.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.6.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.6.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.6.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.6.3" + }, + { + "rel": "part-of", + "href": "#MON-07" + } + ] + }, + { + "id": "MON-08", + "title": "Protection of Event Logs", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "MON-08" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to protect event logs and audit tools from unauthorized access, modification and deletion." + }, + { + "name": "assessment-objective", + "id": "MON-08_MON-08_A01", + "prose": "audit records are retained for a time period consistent with the records retention policy." + }, + { + "name": "assessment-objective", + "id": "MON-08_MON-08_A02", + "prose": "the original content of audit records is preserved." + }, + { + "name": "assessment-objective", + "id": "MON-08_MON-08_A03", + "prose": "the original time ordering of audit records is preserved." + }, + { + "name": "assessment-objective", + "id": "MON-08_MON-08_A04", + "prose": "audit information is protected from unauthorized access, modification, and deletion." + }, + { + "name": "assessment-objective", + "id": "MON-08_MON-08_A05", + "prose": "access to management of audit logging functionality is authorized to only a subset of privileged users or roles." + }, + { + "name": "assessment-objective", + "id": "MON-08_MON-08_A06", + "prose": "personnel or roles to be alerted upon detection of unauthorized access, modification or deletion of audit information is/are defined." + }, + { + "name": "assessment-objective", + "id": "MON-08_MON-08_A07", + "prose": "organization-defined personnel or roles are alerted upon detection of unauthorized access, modification or deletion of audit information." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:log-02" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:log-10" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:mon-04" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:mon-05" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:event-1.6" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-3.9" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-6.1-re-1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-3.9" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-6.1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-6.1-1" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.15" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_12.4.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.15" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:au-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:au-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:au-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:au-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:au-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:au-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:au-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.3.8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.03.03.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.03.06.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.03.08.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.3.8-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.3.8-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.3.8-c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.3.8-d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.3.8-e" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.3.8-f" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.03.03.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.03.06.b-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.03.06.b-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.03.08.a-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.03.08.b" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a01-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a09-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_10.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_10.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.3.2" + } + ] + }, + { + "id": "MON-08.1", + "title": "Event Log Backup on Separate Physical Systems / Components", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "MON-08.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to back up event logs onto a physically different system or system component than the Security Incident Event Manager (SIEM) or similar automated tool." + }, + { + "name": "assessment-objective", + "id": "MON-08.1_MON-08.1_A01", + "prose": "the frequency of event logs transferred to a different system, system component or media other than the system or system component conducting the logging is defined." + }, + { + "name": "assessment-objective", + "id": "MON-08.1_MON-08.1_A02", + "prose": "event logs are transferred per an organization-defined frequency to a different system, system component or media other than the system or system component conducting the logging." + }, + { + "name": "assessment-objective", + "id": "MON-08.1_MON-08.1_A03", + "prose": "audit records are stored per an organization-defined frequency in a repository that is part of a physically different system or system component than the system or component being audited." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:mon-05" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:mon-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:au-4-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:au-9-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:au-04-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:au-09-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:au-09-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:au-04-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:au-09-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:au-04-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:au-04-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:au-04-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:au-09-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:au-09-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.03.08.a" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a09-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_10.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.3.3" + }, + { + "rel": "part-of", + "href": "#MON-08" + } + ] + }, + { + "id": "MON-08.2", + "title": "Access by Subset of Privileged Users", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "MON-08.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to restrict access to the management of event logs to privileged users with a specific business need." + }, + { + "name": "assessment-objective", + "id": "MON-08.2_MON-08.2_A01", + "prose": "a subset of privileged users or roles authorized to access management of event logging functionality is defined." + }, + { + "name": "assessment-objective", + "id": "MON-08.2_MON-08.2_A02", + "prose": "access to management of audit logging functionality is authorized to only a subset of privileged users or roles." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:log-04" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:mon-04" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:mon-05" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-6.1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-6.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:au-9-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:au-09-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:au-09-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:au-09-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:au-09-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:au-09-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.3.9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.03.08.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.03.08.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.3.9-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.3.9-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.03.08.b" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a09-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_10.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_10.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.3.2" + }, + { + "rel": "part-of", + "href": "#MON-08" + } + ] + }, + { + "id": "MON-08.3", + "title": "Cryptographic Protection of Event Log Information", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "MON-08.3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Cryptographic mechanisms exist to protect the integrity of event logs and audit tools." + }, + { + "name": "assessment-objective", + "id": "MON-08.3_MON-08.3_A01", + "prose": "cryptographic mechanisms to protect the integrity of audit information and audit tools are implemented." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:mon-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:au-9-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:au-09-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:au-09-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:au-09-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:au-09-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:au-09-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.03.08.a" + }, + { + "rel": "part-of", + "href": "#MON-08" + } + ] + }, + { + "id": "MON-08.4", + "title": "Dual Authorization for Event Log Movement", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to enforce dual authorization for the movement or deletion of event logs." + }, + { + "name": "assessment-objective", + "id": "MON-08.4_MON-08.4_A01", + "prose": "critical or sensitive system and organizational operations for which dual authorization is to be enforced are identified." + }, + { + "name": "assessment-objective", + "id": "MON-08.4_MON-08.4_A02", + "prose": "dual authorization is employed to execute critical or sensitive system and organizational operations." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:au-9-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:au-09-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:au-09-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:au-09-05" + }, + { + "rel": "part-of", + "href": "#MON-08" + } + ] + }, + { + "id": "MON-09", + "title": "Non-Repudiation", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to utilize a non-repudiation capability to protect against an individual falsely denying having performed a particular action." + }, + { + "name": "assessment-objective", + "id": "MON-09_MON-09_A01", + "prose": "actions to be covered by non-repudiation are defined." + }, + { + "name": "assessment-objective", + "id": "MON-09_MON-09_A02", + "prose": "irrefutable evidence is provided that an individual (or process acting on behalf of an individual) has performed organization-defined actions." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-2.12" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-2.12-re-1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-2.12" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-2.12-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:au-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:au-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:au-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:au-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:au-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:au-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:au-10" + } + ] + }, + { + "id": "MON-09.1", + "title": "Identity Binding", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to bind the identity of the information producer to the information generated." + }, + { + "name": "assessment-objective", + "id": "MON-09.1_MON-09.1_A01", + "prose": "the strength of binding between the identity of the information producer and the information is defined." + }, + { + "name": "assessment-objective", + "id": "MON-09.1_MON-09.1_A02", + "prose": "the identity of the information producer is bound with the information to organization-defined strength of binding." + }, + { + "name": "assessment-objective", + "id": "MON-09.1_MON-09.1_A03", + "prose": "the means for authorized individuals to determine the identity of the producer of the information is provided." + }, + { + "name": "assessment-objective", + "id": "MON-09.1_MON-09.1_A04", + "prose": "the frequency at which to validate the binding of the information producer identity to the information is defined." + }, + { + "name": "assessment-objective", + "id": "MON-09.1_MON-09.1_A05", + "prose": "the actions to be performed in the event of a validation error are defined." + }, + { + "name": "assessment-objective", + "id": "MON-09.1_MON-09.1_A06", + "prose": "the binding of the information producer identity to the information is validated at organization-defined frequency." + }, + { + "name": "assessment-objective", + "id": "MON-09.1_MON-09.1_A07", + "prose": "organization-defined actions in the event of a validation error are performed." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:au-10-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:au-10-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:au-10-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:au-10-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:au-10-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:au-10-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:au-10-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:au-10-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:au-10-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:au-10-2" + }, + { + "rel": "part-of", + "href": "#MON-09" + } + ] + }, + { + "id": "MON-10", + "title": "Event Log Retention", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "MON-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to retain event logs for a time period consistent with records retention requirements to provide support for after-the-fact investigations of security incidents and to meet statutory, regulatory and contractual retention requirements." + }, + { + "name": "assessment-objective", + "id": "MON-10_MON-10_A01", + "prose": "a time period to retain audit records that is consistent with the records retention policy is defined." + }, + { + "name": "assessment-objective", + "id": "MON-10_MON-10_A02", + "prose": "audit records are retained for a time period consistent with the records retention policy." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_8.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_8.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_8.1" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:log-04" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:event-1.4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:au-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:au-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:au-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:au-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:au-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:au-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:au-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:au-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.3.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.03.03.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.3.1-e" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.3.1-f" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.03.03.b" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a09-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_10.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.5.1" + } + ] + }, + { + "id": "MON-11", + "title": "Monitoring For Information Disclosure", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "MON-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to monitor for evidence of unauthorized exfiltration or disclosure of non-public information." + }, + { + "name": "assessment-objective", + "id": "MON-11_MON-11_A01", + "prose": "open-source information and/or information sites to be monitored for evidence of unauthorized disclosure of organizational information is/are defined." + }, + { + "name": "assessment-objective", + "id": "MON-11_MON-11_A02", + "prose": "the frequency with which open-source information and/or information sites are monitored for evidence of unauthorized disclosure of organizational information is defined." + }, + { + "name": "assessment-objective", + "id": "MON-11_MON-11_A03", + "prose": "personnel or roles to be notified if an information disclosure is discovered is/are defined." + }, + { + "name": "assessment-objective", + "id": "MON-11_MON-11_A04", + "prose": "additional actions to be taken if an information disclosure is discovered are defined." + }, + { + "name": "assessment-objective", + "id": "MON-11_MON-11_A05", + "prose": "personnel or roles are notified if an information disclosure is discovered." + }, + { + "name": "assessment-objective", + "id": "MON-11_MON-11_A06", + "prose": "additional actions are taken if an information disclosure is discovered." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.7" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:au-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:au-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:au-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:au-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:au-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:au-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:au-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:au-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.22.b" + } + ] + }, + { + "id": "MON-11.1", + "title": "Analyze Traffic for Covert Exfiltration", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to analyze network traffic to detect covert data exfiltration." + }, + { + "name": "assessment-objective", + "id": "MON-11.1_MON-11.1_A01", + "prose": "anomalous or suspicious behavior is defined." + }, + { + "name": "assessment-objective", + "id": "MON-11.1_MON-11.1_A02", + "prose": "organizational systems and system components are monitored on an ongoing basis for anomalous or suspicious behavior." + }, + { + "name": "assessment-objective", + "id": "MON-11.1_MON-11.1_A03", + "prose": "outbound communications traffic is analyzed at interfaces external to the system to detect covert exfiltration of information." + }, + { + "name": "assessment-objective", + "id": "MON-11.1_MON-11.1_A04", + "prose": "interior points of the network are monitored to detect covert exfiltration of information." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:si-4-18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-04-18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:si-04-18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-04-18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:si-04-18" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.5.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.5.1.1" + }, + { + "rel": "part-of", + "href": "#MON-11" + } + ] + }, + { + "id": "MON-11.2", + "title": "Unauthorized Network Services", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to detect unauthorized network services and alert incident response personnel." + }, + { + "name": "assessment-objective", + "id": "MON-11.2_MON-11.2_A01", + "prose": "authorization or approval processes for network services are defined." + }, + { + "name": "assessment-objective", + "id": "MON-11.2_MON-11.2_A03", + "prose": "personnel or roles to be alerted upon the detection of network services that have not been authorized or approved by authorization or approval processes is/are defined." + }, + { + "name": "assessment-objective", + "id": "MON-11.2_MON-11.2_A04", + "prose": "network services that have not been authorized or approved by authorization or approval processes are detected." + }, + { + "name": "assessment-objective", + "id": "MON-11.2_MON-11.2_A05", + "prose": "organization-defined actions are initiated when network services that have not been authorized or approved by authorization or approval processes are detected." + }, + { + "name": "assessment-objective", + "id": "MON-11.2_MON-11.2_A06", + "prose": "organizational systems and system components are monitored on an ongoing basis for anomalous or suspicious behavior." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:org-2.2-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:si-4-22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-04-22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:si-04-22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-04-22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:si-04-22" + }, + { + "rel": "part-of", + "href": "#MON-11" + } + ] + }, + { + "id": "MON-11.3", + "title": "Monitoring for Indicators of Compromise (IOC)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "MON-11.3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to identify and alert on Indicators of Compromise (IoC)." + }, + { + "name": "assessment-objective", + "id": "MON-11.3_MON-11.3_A01", + "prose": "anomalous or suspicious behavior is defined." + }, + { + "name": "assessment-objective", + "id": "MON-11.3_MON-11.3_A02", + "prose": "Indicators of Compromise (IOC) are defined." + }, + { + "name": "assessment-objective", + "id": "MON-11.3_MON-11.3_A03", + "prose": "sources that provide Indicators of Compromise (IOC) are defined." + }, + { + "name": "assessment-objective", + "id": "MON-11.3_MON-11.3_A04", + "prose": "Indicators of Compromise (IOC) provided by sources are discovered." + }, + { + "name": "assessment-objective", + "id": "MON-11.3_MON-11.3_A05", + "prose": "Indicators of Compromise (IOC) provided by sources are collected." + }, + { + "name": "assessment-objective", + "id": "MON-11.3_MON-11.3_A06", + "prose": "unauthorized use of the system is identified through techniques and methods." + }, + { + "name": "assessment-objective", + "id": "MON-11.3_MON-11.3_A07", + "prose": "internal monitoring capabilities are invoked or monitoring devices are deployed strategically within the system to collect organization-determined essential information." + }, + { + "name": "assessment-objective", + "id": "MON-11.3_MON-11.3_A08", + "prose": "internal monitoring capabilities are invoked or monitoring devices are deployed at ad hoc locations within the system to track specific types of transactions of interest to the organization." + }, + { + "name": "assessment-objective", + "id": "MON-11.3_MON-11.3_A09", + "prose": "personnel or roles to whom Indicators of Compromise (IOC) are to be distributed is/are defined." + }, + { + "name": "assessment-objective", + "id": "MON-11.3_MON-11.3_A10", + "prose": "Indicators of Compromise (IOC) provided by sources are distributed to personnel or roles." + }, + { + "name": "assessment-objective", + "id": "MON-11.3_MON-11.3_A11", + "prose": "personnel or roles to whom Indicators of Compromise (IOC) are to be distributed is/are defined." + }, + { + "name": "assessment-objective", + "id": "MON-11.3_MON-11.3_A12", + "prose": "Indicators of Compromise (IOC) provided by sources are distributed to personnel or roles." + }, + { + "name": "assessment-objective", + "id": "MON-11.3_MON-11.3_A13", + "prose": "organizational systems to search for Indicators of Compromise (IOC) are defined." + }, + { + "name": "assessment-objective", + "id": "MON-11.3_MON-11.3_A14", + "prose": "effective mitigations are identified." + }, + { + "name": "assessment-objective", + "id": "MON-11.3_MON-11.3_A15", + "prose": "intrusion detection approaches are identified." + }, + { + "name": "assessment-objective", + "id": "MON-11.3_MON-11.3_A16", + "prose": "threat hunting activities are identified." + }, + { + "name": "assessment-objective", + "id": "MON-11.3_MON-11.3_A17", + "prose": "advanced automation and analytics capabilities are used to predict and identify risks to organizations, systems and system components are identified." + }, + { + "name": "assessment-objective", + "id": "MON-11.3_MON-11.3_A18", + "prose": "analysts are used to predict and identify risks to organizations, systems and system components are identified." + }, + { + "name": "assessment-objective", + "id": "MON-11.3_MON-11.3_A19", + "prose": "advanced automation and analytics capabilities are employed in support of analysts to predict and identify risks to organizations, systems and system components." + }, + { + "name": "assessment-objective", + "id": "MON-11.3_MON-11.3_A20", + "prose": "threat indicator information and effective mitigations obtained from external organizations are used to guide and inform intrusion detection and threat hunting." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:log-14" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:iam-08" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:mon-01" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:mon-09" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:mon-11" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.7" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:si-4-24" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-04-24" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:si-04-24" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-04-24" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:si-04-24" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.14.7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.14.06.a.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.14.06.a.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.14.06.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.14.06.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.11.2e" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:de.cm" + }, + { + "rel": "part-of", + "href": "#MON-11" + } + ] + }, + { + "id": "MON-12", + "title": "Session Audit", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to provide session audit capabilities that can: \r\n(1) Capture and log all content related to a user session; and\r\n(2) Remotely view all content related to an established user session in real time." + }, + { + "name": "assessment-objective", + "id": "MON-12_MON-12_A01", + "prose": "user session auditing practices are defined (e.g., record, view, hear or log)." + }, + { + "name": "assessment-objective", + "id": "MON-12_MON-12_A02", + "prose": "users or roles who can audit the content of a user session are defined." + }, + { + "name": "assessment-objective", + "id": "MON-12_MON-12_A03", + "prose": "circumstances under which the content of a user session can be audited are defined." + }, + { + "name": "assessment-objective", + "id": "MON-12_MON-12_A04", + "prose": "designated users or roles are provided with the capability to audit the content of a user session under organization-defined circumstances." + }, + { + "name": "assessment-objective", + "id": "MON-12_MON-12_A05", + "prose": "the capability for organization's the content of a user session under organization-defined circumstances is implemented." + }, + { + "name": "assessment-objective", + "id": "MON-12_MON-12_A06", + "prose": "session auditing activities are developed in consultation with legal counsel and in accordance with applicable laws, executive orders, directives, regulations, policies, standards and guidelines." + }, + { + "name": "assessment-objective", + "id": "MON-12_MON-12_A07", + "prose": "session auditing activities are integrated in consultation with legal counsel and in accordance with applicable laws, executive orders, directives, regulations, policies, standards and guidelines." + }, + { + "name": "assessment-objective", + "id": "MON-12_MON-12_A08", + "prose": "session auditing activities are used in consultation with legal counsel and in accordance with applicable laws, executive orders, directives, regulations, policies, standards and guidelines." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:au-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:au-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:au-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:au-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:au-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:au-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:au-14" + } + ] + }, + { + "id": "MON-13", + "title": "Alternate Event Logging Capability", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to provide an alternate event logging capability in the event of a failure in primary audit capability." + }, + { + "name": "assessment-objective", + "id": "MON-13_MON-13_A01", + "prose": "an alternate event logging functionality in the event of a failure in primary event logging capability is defined." + }, + { + "name": "assessment-objective", + "id": "MON-13_MON-13_A02", + "prose": "an alternate event logging capability is provided in the event of a failure in primary event logging capability that implements organization-defined alternate event logging functionality." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:au-15" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:au-05-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:au-05-05" + } + ] + }, + { + "id": "MON-14", + "title": "Cross-Organizational Monitoring", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to coordinate sanitized event logs among external organizations to identify anomalous events when event logs are shared across organizational boundaries, without giving away sensitive or critical business data." + }, + { + "name": "assessment-objective", + "id": "MON-14_MON-14_A01", + "prose": "methods for coordinating audit information among external organizations when audit information is transmitted across organizational boundaries are defined." + }, + { + "name": "assessment-objective", + "id": "MON-14_MON-14_A02", + "prose": "audit information to be coordinated among external organizations when audit information is transmitted across organizational boundaries is defined." + }, + { + "name": "assessment-objective", + "id": "MON-14_MON-14_A03", + "prose": "organization-defined methods for coordinating audit information among external organizations when audit information is transmitted across organizational boundaries are employed." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:au-16" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:au-16-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:au-16" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:au-16-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:au-16" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:au-16-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:au-16" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:au-16" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:au-16" + } + ] + }, + { + "id": "MON-14.1", + "title": "Sharing of Event Logs", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to share event logs with third-party organizations based on specific cross-organizational sharing agreements." + }, + { + "name": "assessment-objective", + "id": "MON-14.1_MON-14.1_A01", + "prose": "organizations with which cross-organizational audit information is to be shared are defined." + }, + { + "name": "assessment-objective", + "id": "MON-14.1_MON-14.1_A02", + "prose": "cross-organizational sharing agreements to be used when providing cross-organizational audit information to organizations are defined." + }, + { + "name": "assessment-objective", + "id": "MON-14.1_MON-14.1_A03", + "prose": "cross-organizational audit information is provided to organization-defined organizations based on organization-defined cross-organizational sharing agreements." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:au-16-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:au-16-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:au-16-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:au-16-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:au-16-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:au-16-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:au-16-2" + }, + { + "rel": "part-of", + "href": "#MON-14" + } + ] + }, + { + "id": "MON-15", + "title": "Covert Channel Analysis", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to conduct covert channel analysis to identify aspects of communications that are potential avenues for covert channels." + }, + { + "name": "assessment-objective", + "id": "MON-15_MON-15_A01", + "prose": "a covert channel analysis is performed to identify those aspects of communications within the system that are potential avenues for covert channels (e.g., storage and/or timing)." + }, + { + "name": "assessment-objective", + "id": "MON-15_MON-15_A02", + "prose": "the maximum bandwidth of those channels is estimated." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-31" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-31" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-31" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.5.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.5.1.1" + } + ] + }, + { + "id": "MON-16", + "title": "Anomalous Behavior", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "MON-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to utilize User & Entity Behavior Analytics (UEBA) and/or User Activity Monitoring (UAM) solutions to detect and respond to anomalous behavior that could indicate account compromise or other malicious activities." + }, + { + "name": "assessment-objective", + "id": "MON-16_MON-16_A01", + "prose": "environments or resources which may contain or may be related to anomalous or suspected adversarial behavior are defined." + }, + { + "name": "assessment-objective", + "id": "MON-16_MON-16_A02", + "prose": "systems are monitored to detect unauthorized local connections." + }, + { + "name": "assessment-objective", + "id": "MON-16_MON-16_A03", + "prose": "systems are monitored to detect unauthorized network connections." + }, + { + "name": "assessment-objective", + "id": "MON-16_MON-16_A04", + "prose": "systems are monitored to detect unauthorized remote connections." + }, + { + "name": "assessment-objective", + "id": "MON-16_MON-16_A05", + "prose": "outbound communications traffic at the external interfaces to the system is analyzed to discover anomalies." + }, + { + "name": "assessment-objective", + "id": "MON-16_MON-16_A06", + "prose": "outbound communications traffic at interior points is analyzed to discover anomalies." + }, + { + "name": "assessment-objective", + "id": "MON-16_MON-16_A07", + "prose": "anomalous or suspected adversarial behavior in or related to organization-defined environments or resources are analyzed." + }, + { + "name": "assessment-objective", + "id": "MON-16_MON-16_A08", + "prose": "unauthorized use of the system is identified." + }, + { + "name": "assessment-objective", + "id": "MON-16_MON-16_A09", + "prose": "anomalous or suspicious behavior is defined." + }, + { + "name": "assessment-objective", + "id": "MON-16_MON-16_A10", + "prose": "personnel or roles to report atypical usage is/are defined." + }, + { + "name": "assessment-objective", + "id": "MON-16_MON-16_A11", + "prose": "atypical usage of system accounts is reported to organization-defined personnel or roles." + }, + { + "name": "assessment-objective", + "id": "MON-16_MON-16_A12", + "prose": "organizational systems and system components are monitored on an ongoing basis for anomalous or suspicious behavior." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:log-14" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:iam-08" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:mon-01" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:mon-10" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:sap-06" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:org-2.2-d" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-1.1-002" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ac-2-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:si-4-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-02-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ir-04-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-04-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ir-04-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:ac-02-12" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.312-b" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.312-c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-02-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ir-04-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-04-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ac-02-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:ac-02-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:ir-04-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:si-04-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.14.7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.01.e" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.03.05.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.14.06.a.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.14.06.a.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.14.06.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.14.06.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.14.06.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.14.2e" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-4" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:de.cm" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:de.cm-03" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:a3.2.6.1" + } + ] + }, + { + "id": "MON-16.1", + "title": "Insider Threats", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "MON-16.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to monitor internal personnel activity for potential security incidents." + }, + { + "name": "assessment-objective", + "id": "MON-16.1_MON-16.1_A01", + "prose": "a legal opinion regarding insider threat monitoring is obtained." + }, + { + "name": "assessment-objective", + "id": "MON-16.1_MON-16.1_A02", + "prose": "monitoring activities for insider threats is defined." + }, + { + "name": "assessment-objective", + "id": "MON-16.1_MON-16.1_A03", + "prose": "organization-defined mechanisms are employed to monitor internal personnel activity for potential security incidents." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:de.cm-03" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:a3.2.6.1" + }, + { + "rel": "part-of", + "href": "#MON-16" + } + ] + }, + { + "id": "MON-16.2", + "title": "Third-Party Threats", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "MON-16.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to monitor third-party personnel activity for potential security incidents." + }, + { + "name": "assessment-objective", + "id": "MON-16.2_MON-16.2_A01", + "prose": "a legal opinion regarding third-party threat monitoring is obtained." + }, + { + "name": "assessment-objective", + "id": "MON-16.2_MON-16.2_A02", + "prose": "monitoring activities for third-party threats is defined." + }, + { + "name": "assessment-objective", + "id": "MON-16.2_MON-16.2_A03", + "prose": "organization-defined mechanisms are employed to monitor third-party activities for potential security incidents." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:de.cm-06" + }, + { + "rel": "part-of", + "href": "#MON-16" + } + ] + }, + { + "id": "MON-16.3", + "title": "Unauthorized Activities", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "MON-16.3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to monitor for unauthorized activities, accounts, connections, devices and software." + }, + { + "name": "assessment-objective", + "id": "MON-16.3_MON-16.3_A01", + "prose": "unauthorized activities are defined." + }, + { + "name": "assessment-objective", + "id": "MON-16.3_MON-16.3_A02", + "prose": "personnel or roles to be notified when unauthorized activities are detected is/are defined." + }, + { + "name": "assessment-objective", + "id": "MON-16.3_MON-16.3_A03", + "prose": "methods to detect unauthorized activities are identified." + }, + { + "name": "assessment-objective", + "id": "MON-16.3_MON-16.3_A04", + "prose": "monitoring mechanisms are configured to detect unauthorized activities." + }, + { + "name": "assessment-objective", + "id": "MON-16.3_MON-16.3_A05", + "prose": "personnel or roles are notified when unauthorized activities are detected." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_2.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_2.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_2.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_2.3" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:de.cm-03" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:a3.2.6.1" + }, + { + "rel": "part-of", + "href": "#MON-16" + } + ] + }, + { + "id": "MON-16.4", + "title": "Account Creation and Modification Logging", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "MON-16.4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to generate event logs for permissions changes to privileged accounts and/or groups." + }, + { + "name": "assessment-objective", + "id": "MON-16.4_MON-16.4_A01", + "prose": "an automated mechanism generates event logs for permissions changes to privileged accounts and/or groups." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:de.cm-06" + }, + { + "rel": "part-of", + "href": "#MON-16" + } + ] + }, + { + "id": "MON-17", + "title": "Event Log Analysis & Triage", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure event log reviews include analysis and triage practices that integrate with the organization's established incident response processes." + }, + { + "name": "assessment-objective", + "id": "MON-17_MON-17_A01", + "prose": "analysis and triage capabilities for event log review processes are defined." + }, + { + "name": "assessment-objective", + "id": "MON-17_MON-17_A02", + "prose": "analysis and triage capabilities are integrated into event log review processes that support the organization's governance and incident response functions." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:event-1.1" + } + ] + }, + { + "id": "MON-17.1", + "title": "Event Log Review Escalation Matrix", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to make event log review processes more efficient and effective by developing and maintaining an incident response escalation matrix." + }, + { + "name": "assessment-objective", + "id": "MON-17.1_MON-17.1_A01", + "prose": "an escalation matrix that is specific to the organization's unique monitoring practices is developed and maintained." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "part-of", + "href": "#MON-17" + } + ] + }, + { + "id": "MON-18", + "title": "File Activity Monitoring (FAM)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to monitor sensitive/regulated data in Technology Assets, Applications and/or Services (TAAS) and data repositories." + }, + { + "name": "assessment-objective", + "id": "MON-18_MON-18_A01", + "prose": "automated tools are used to monitor sensitive/regulated data in Assets, Applications & Services (AAS)." + }, + { + "name": "assessment-objective", + "id": "MON-18_MON-18_A02", + "prose": "automated tools are used to monitor sensitive/regulated data in data repositories." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + } + ] + }, + { + "id": "MON-19", + "title": "Write Once Read Many (WORM) Event Log Generation", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to produce event logs on hardware-enforced, write-once media (e.g., Write Once Read Many (WORM) technologies)." + }, + { + "name": "assessment-objective", + "id": "MON-19_MON-19_A01", + "prose": "Technology Assets, Applications and/or Services (TAAS) that require hardware-enforced, write-once media (e.g., Write Once Read Many (WORM) technologies) are identified." + }, + { + "name": "assessment-objective", + "id": "MON-19_MON-19_A02", + "prose": "hardware-enforced, write-once media technologies are identified." + }, + { + "name": "assessment-objective", + "id": "MON-19_MON-19_A03", + "prose": "hardware-enforced, write-once media technologies are implemented, where required." + }, + { + "name": "overview", + "class": "errata", + "prose": "- new control (IEC 62443-4-2)" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-3.9-re-1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-3.9-1" + } + ] + } + ] + }, + { + "id": "cryptographic-protections", + "title": "Cryptographic Protections", + "controls": [ + { + "id": "CRY-01", + "title": "Use of Cryptographic Controls", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "CRY-01" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management", + "value": "3.5.3.4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to facilitate the implementation of cryptographic protections controls using known public standards and trusted cryptographic technologies." + }, + { + "name": "assessment-objective", + "id": "CRY-01_CRY-01_A01", + "prose": "cryptographic uses are identified / defined." + }, + { + "name": "assessment-objective", + "id": "CRY-01_CRY-01_A02", + "prose": "cryptographic mechanisms intended to prevent unauthorized disclosure of sensitive / regulated data are identified." + }, + { + "name": "assessment-objective", + "id": "CRY-01_CRY-01_A03", + "prose": "organization-defined types of cryptography are implemented to protect the confidentiality of sensitive / regulated data." + }, + { + "name": "assessment-objective", + "id": "CRY-01_CRY-01_A04", + "prose": "as necessary for compliance requirements, FIPS-validated cryptography is employed to protect the confidentiality of sensitive / regulated data." + }, + { + "name": "assessment-objective", + "id": "CRY-01_CRY-01_A05", + "prose": "security critical or essential software is defined." + }, + { + "name": "assessment-objective", + "id": "CRY-01_CRY-01_A06", + "prose": "root of trust mechanisms or cryptographic signatures are identified." + }, + { + "name": "assessment-objective", + "id": "CRY-01_CRY-01_A07", + "prose": "the integrity of security critical or essential software is verified using root of trust mechanisms or cryptographic signatures." + }, + { + "name": "assessment-objective", + "id": "CRY-01_CRY-01_A08", + "prose": "cryptographic mechanisms are implemented to prevent the unauthorized disclosure of sensitive / regulated data during transmission." + }, + { + "name": "assessment-objective", + "id": "CRY-01_CRY-01_A09", + "prose": "cryptographic mechanisms are implemented to prevent the unauthorized disclosure of sensitive / regulated data while in storage." + }, + { + "name": "assessment-objective", + "id": "CRY-01_CRY-01_A10", + "prose": "cryptographic mechanisms are implemented to detect unauthorized changes to software." + }, + { + "name": "assessment-objective", + "id": "CRY-01_CRY-01_A11", + "prose": "cryptographic mechanisms are implemented to detect unauthorized changes to firmware." + }, + { + "name": "assessment-objective", + "id": "CRY-01_CRY-01_A12", + "prose": "cryptographic mechanisms are implemented to detect unauthorized changes to information." + }, + { + "name": "assessment-objective", + "id": "CRY-01_CRY-01_A13", + "prose": "cryptographic mechanisms are implemented to prevent the unauthorized disclosure of CUI during transmission." + }, + { + "name": "assessment-objective", + "id": "CRY-01_CRY-01_A14", + "prose": "cryptographic mechanisms are implemented to prevent the unauthorized disclosure of CUI while in storage." + }, + { + "name": "assessment-objective", + "id": "CRY-01_CRY-01_A15", + "prose": "the types of cryptography for protecting the confidentiality of CUI are defined." + }, + { + "name": "assessment-objective", + "id": "CRY-01_CRY-01_A16", + "prose": "the following types of cryptography are implemented to protect the confidentiality of CUI: ." + }, + { + "name": "assessment-objective", + "id": "CRY-01_CRY-01_A17", + "prose": "cryptographic protections management operations are conducted according to documented policies, standards, procedures and/or other organizational directives." + }, + { + "name": "assessment-objective", + "id": "CRY-01_CRY-01_A18", + "prose": "adequate resources (e.g., people, processes, technologies, data and/or facilities) are provided to support cryptographic protections management operations." + }, + { + "name": "assessment-objective", + "id": "CRY-01_CRY-01_A19", + "prose": "responsibility and authority for the performance of cryptographic protections management-related activities are assigned to designated personnel." + }, + { + "name": "assessment-objective", + "id": "CRY-01_CRY-01_A20", + "prose": "personnel performing cryptographic protections management-related activities have the skills and knowledge needed to perform their assigned duties." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_3.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_3.9" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_3.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_3.11" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_3.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_3.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_3.9" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_3.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_3.11" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_3.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_3.9" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_3.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_3.11" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:cek-01" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:cek-02" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:cek-03" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:cek-04" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dsp-10" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:log-11" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:cls-01" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:com-07" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:com-08" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:com-09" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:iot-10" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:sap-07" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:data-1.5" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-4.1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-4.1-re-1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-4.3" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-4.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.24" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.26" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_10.1.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_14.1.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.24" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.26" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-8-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-8-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-13-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:si-7-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-08-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-08-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-07-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sc-08-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sc-08-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sc-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:sc-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:sc-08-01" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.312-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-08-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-08-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-07-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:sc-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sc-08-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sc-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sc-08-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sc-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sc-08-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:si-07-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.13.11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.13.08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.13.11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.13.8-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.13.11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.13.08-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.13.08-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.13.11.odp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.13.11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-2" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ds-01" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ds-02" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ds-10" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a02-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a04-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_2.2.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_3.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_2.2.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_2.2.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_2.2.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_2.2.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_2.2.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_3.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_2.2.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_3.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.3.3" + } + ] + }, + { + "id": "CRY-01.1", + "title": "Alternate Physical Protection", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "CRY-01.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Cryptographic mechanisms exist to prevent unauthorized disclosure of information as an alternative to physical safeguards." + }, + { + "name": "assessment-objective", + "id": "CRY-01.1_CRY-01.1_A01", + "prose": "either cryptographic mechanisms or alternative physical safeguards are implemented to prevent unauthorized disclosure of sensitive / regulated data during transmission." + }, + { + "name": "assessment-objective", + "id": "CRY-01.1_CRY-01.1_A02", + "prose": "alternative physical safeguards intended to prevent unauthorized disclosure of sensitive / regulated are identified." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-8-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-08-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sc-08-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:sc-08-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-08-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sc-08-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sc-08-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sc-08-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.8.6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.13.8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.13.08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.13.8-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.13.8-c" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ds-01" + }, + { + "rel": "part-of", + "href": "#CRY-01" + } + ] + }, + { + "id": "CRY-01.2", + "title": "Export-Controlled Cryptography", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to address the exporting of cryptographic technologies in compliance with relevant statutory and regulatory requirements." + }, + { + "name": "assessment-objective", + "id": "CRY-01.2_CRY-01.2_A01", + "prose": "a legal opinion regarding exporting cryptographic technologies is obtained." + }, + { + "name": "assessment-objective", + "id": "CRY-01.2_CRY-01.2_A02", + "prose": "cryptographic uses are defined." + }, + { + "name": "assessment-objective", + "id": "CRY-01.2_CRY-01.2_A03", + "prose": "types of cryptography for each specified cryptographic use are defined." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.31" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_18.1.5" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.31" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sc-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:sc-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:sc-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sc-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sc-13" + }, + { + "rel": "part-of", + "href": "#CRY-01" + } + ] + }, + { + "id": "CRY-01.3", + "title": "Pre/Post Transmission Handling", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Cryptographic mechanisms exist to ensure the confidentiality and integrity of information during preparation for transmission and during reception." + }, + { + "name": "assessment-objective", + "id": "CRY-01.3_CRY-01.3_A01", + "prose": "the confidentiality and integrity of information is maintained during preparation for transmission." + }, + { + "name": "assessment-objective", + "id": "CRY-01.3_CRY-01.3_A02", + "prose": "the confidentiality and integrity of information is maintained during reception." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-8-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-08-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sc-08-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-08-02" + }, + { + "rel": "part-of", + "href": "#CRY-01" + } + ] + }, + { + "id": "CRY-01.4", + "title": "Conceal / Randomize Communications", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Cryptographic mechanisms exist to conceal or randomize communication patterns." + }, + { + "name": "assessment-objective", + "id": "CRY-01.4_CRY-01.4_A01", + "prose": "technical and procedural means to confuse and mislead adversaries are defined." + }, + { + "name": "assessment-objective", + "id": "CRY-01.4_CRY-01.4_A02", + "prose": "technical and procedural means are employed to confuse and mislead adversaries." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-8-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-08-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-08-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sc-08-04" + }, + { + "rel": "part-of", + "href": "#CRY-01" + } + ] + }, + { + "id": "CRY-01.5", + "title": "Cryptographic Cipher Suites and Protocols Inventory", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "CRY-01.5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to identify, document and review deployed cryptographic cipher suites and protocols to proactively respond to industry trends regarding the continued viability of utilized cryptographic cipher suites and protocols." + }, + { + "name": "assessment-objective", + "id": "CRY-01.5_CRY-01.5_A01", + "prose": "cryptographic uses are defined." + }, + { + "name": "assessment-objective", + "id": "CRY-01.5_CRY-01.5_A02", + "prose": "types of cryptography for each specified cryptographic use are defined." + }, + { + "name": "assessment-objective", + "id": "CRY-01.5_CRY-01.5_A03", + "prose": "an inventory of cryptographic cipher suites and protocols is maintained." + }, + { + "name": "assessment-objective", + "id": "CRY-01.5_CRY-01.5_A04", + "prose": "deployed cryptographic cipher suites and protocols are periodically reviewed to identify industry trends regarding the continued viability of utilized cryptographic cipher suites and protocols." + }, + { + "name": "assessment-objective", + "id": "CRY-01.5_CRY-01.5_A05", + "prose": "proactive measures are taken to respond to industry trends regarding the continued viability of utilized cryptographic cipher suites and protocols." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.13.11" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.3.3" + }, + { + "rel": "part-of", + "href": "#CRY-01" + } + ] + }, + { + "id": "CRY-02", + "title": "Automated Authentication Through Cryptographic Modules", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to enable systems to authenticate to a cryptographic module." + }, + { + "name": "assessment-objective", + "id": "CRY-02_CRY-02_A01", + "prose": "mechanisms for authentication to a cryptographic module are implemented that meet the requirements of applicable laws, executive orders, directives, policies, regulations, standards and guidelines for such authentication." + }, + { + "name": "overview", + "class": "errata", + "prose": "- renamed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ia-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ia-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ia-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ia-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ia-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ia-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ia-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ia-07" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_2.2.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_3.6.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_3.6.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_2.2.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_2.2.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_2.2.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_2.2.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_2.2.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_3.6.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_2.2.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_3.6.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_3.6.1.2" + } + ] + }, + { + "id": "CRY-03", + "title": "Transmission Confidentiality", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "CRY-03" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Cryptographic mechanisms exist to protect the confidentiality of data being transmitted." + }, + { + "name": "assessment-objective", + "id": "CRY-03_CRY-03_A01", + "prose": "the types of cryptography for protecting the confidentiality of data are defined." + }, + { + "name": "assessment-objective", + "id": "CRY-03_CRY-03_A02", + "prose": "cryptographic mechanisms are implemented to prevent the unauthorized disclosure of data during transmission." + }, + { + "name": "assessment-objective", + "id": "CRY-03_CRY-03_A03", + "prose": "organization-defined types of cryptography are implemented to protect the confidentiality of sensitive / regulated data." + }, + { + "name": "assessment-objective", + "id": "CRY-03_CRY-03_A04", + "prose": "cryptographic mechanisms are implemented to prevent the unauthorized disclosure of CUI during transmission." + }, + { + "name": "assessment-objective", + "id": "CRY-03_CRY-03_A05", + "prose": "the types of cryptography for protecting the confidentiality of CUI are defined." + }, + { + "name": "assessment-objective", + "id": "CRY-03_CRY-03_A06", + "prose": "the following types of cryptography are implemented to protect the confidentiality of CUI: ." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_3.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_3.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_3.1" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:cek-03" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dsp-10" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:com-07" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:com-08" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:com-09" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:iot-10" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:sap-07" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:sws-11" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-4.1-re-2" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-4.1-b" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.14" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.24" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.26" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_10.1.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_13.2.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_13.2.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_14.1.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_14.1.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.14" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.24" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.26" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:pr.ds-p2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-8-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-08-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sc-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sc-08-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:sc-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:sc-08-01" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.312-e-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-08-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sc-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sc-08-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sc-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sc-08-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sc-08-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sc-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:sc-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sc-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sc-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.13.8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.13.08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.13.8-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.13.11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.13.08-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.13.11.odp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.13.11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-2" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ds-02" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a04-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_4.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_4.2.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:a2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:a2.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:a2.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_4.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:a2.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_4.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_4.2.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:a2.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_4.2.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_4.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_4.2.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:a2.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_4.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_4.2.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:a2.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:a2.1.2" + } + ] + }, + { + "id": "CRY-04", + "title": "Transmission Integrity", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "CRY-04" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Cryptographic mechanisms exist to protect the integrity of data being transmitted." + }, + { + "name": "assessment-objective", + "id": "CRY-04_CRY-04_A01", + "prose": "the integrity of transmitted information is/are protected." + }, + { + "name": "assessment-objective", + "id": "CRY-04_CRY-04_A02", + "prose": "cryptographic uses are defined." + }, + { + "name": "assessment-objective", + "id": "CRY-04_CRY-04_A03", + "prose": "information requiring cryptographic protection is defined." + }, + { + "name": "assessment-objective", + "id": "CRY-04_CRY-04_A04", + "prose": "system components or media requiring cryptographic protection is/are defined." + }, + { + "name": "assessment-objective", + "id": "CRY-04_CRY-04_A05", + "prose": "types of cryptography for each specified cryptographic use are defined." + }, + { + "name": "assessment-objective", + "id": "CRY-04_CRY-04_A06", + "prose": "the integrity of transmitted cybersecurity / data privacy attributes is verified." + }, + { + "name": "assessment-objective", + "id": "CRY-04_CRY-04_A07", + "prose": "cryptographic mechanisms are implemented to prevent unauthorized disclosure of information at rest on system components or media." + }, + { + "name": "assessment-objective", + "id": "CRY-04_CRY-04_A08", + "prose": "cryptographic mechanisms are implemented to prevent unauthorized modification of information at rest on system components or media." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:sap-07" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:data-1.7" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-3.1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-3.1-re-1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-3.1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-3.1-1" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.24" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.26" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_10.1.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_14.1.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.24" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.26" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:pr.ac-p5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-16-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-28-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-16-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-28-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sc-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sc-16-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sc-28-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:sc-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:sc-28-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-16-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-28-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sc-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sc-28-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sc-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sc-28-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sc-16-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sc-28-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sc-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:sc-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sc-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sc-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:nfo-si-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-2" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ds-02" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a04-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_3.7.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_3.7.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_3.7.5" + } + ] + }, + { + "id": "CRY-05", + "title": "Encrypting Data At Rest", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "CRY-05" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Cryptographic mechanisms exist to prevent unauthorized disclosure of data at rest." + }, + { + "name": "assessment-objective", + "id": "CRY-05_CRY-05_A01", + "prose": "the confidentiality of sensitive / regulated data stored on digital media is protected during transport using cryptographic mechanisms or alternative physical safeguards." + }, + { + "name": "assessment-objective", + "id": "CRY-05_CRY-05_A02", + "prose": "cryptographic mechanisms are implemented to prevent the unauthorized disclosure of sensitive / regulated data while in storage." + }, + { + "name": "assessment-objective", + "id": "CRY-05_CRY-05_A03", + "prose": "cryptographic uses are defined." + }, + { + "name": "assessment-objective", + "id": "CRY-05_CRY-05_A04", + "prose": "information requiring cryptographic protection is defined." + }, + { + "name": "assessment-objective", + "id": "CRY-05_CRY-05_A05", + "prose": "system components or media requiring cryptographic protection is/are defined." + }, + { + "name": "assessment-objective", + "id": "CRY-05_CRY-05_A06", + "prose": "the types of cryptography for protecting the confidentiality of sensitive / regulated data are defined." + }, + { + "name": "assessment-objective", + "id": "CRY-05_CRY-05_A07", + "prose": "organization-defined types of cryptography are implemented to protect the confidentiality of sensitive / regulated data." + }, + { + "name": "assessment-objective", + "id": "CRY-05_CRY-05_A08", + "prose": "cryptographic mechanisms are implemented to prevent the unauthorized disclosure of CUI while in storage." + }, + { + "name": "assessment-objective", + "id": "CRY-05_CRY-05_A09", + "prose": "the types of cryptography for protecting the confidentiality of CUI are defined." + }, + { + "name": "assessment-objective", + "id": "CRY-05_CRY-05_A10", + "prose": "the following types of cryptography are implemented to protect the confidentiality of CUI: ." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_3.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_3.9" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_3.11" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_3.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_3.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_3.9" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_3.11" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_3.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_3.9" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_3.11" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:cek-03" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:uem-08" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:dat-04" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-4.1-a" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.24" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_10.1.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.24" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:pr.ds-p1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-28" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-28-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-28" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-28-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sc-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sc-28" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sc-28-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:sc-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:sc-28" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:sc-28-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-28" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-28-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:sc-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sc-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sc-28" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sc-28-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sc-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sc-28" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sc-28-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sc-28-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sc-28" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:sc-28" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sc-28" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sc-28" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.8.6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.13.16" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.13.08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.8.6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.13.08-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.13.11.odp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.13.11" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ds-01" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a04-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_3.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_3.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_3.5.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_3.5.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_3.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_3.5.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_3.5.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_3.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_3.5.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_3.5.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.3.2" + } + ] + }, + { + "id": "CRY-05.1", + "title": "Storage Media", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "CRY-05.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Cryptographic mechanisms exist to protect the confidentiality and integrity of sensitive/regulated data residing on storage media." + }, + { + "name": "assessment-objective", + "id": "CRY-05.1_CRY-05.1_A01", + "prose": "storage media types are defined." + }, + { + "name": "assessment-objective", + "id": "CRY-05.1_CRY-05.1_A02", + "prose": "cryptographic mechanisms protect the confidentiality and integrity of the sensitive data residing on storage media." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_3.9" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_3.9" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_3.9" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:uem-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.13.08" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.4" + }, + { + "rel": "part-of", + "href": "#CRY-05" + } + ] + }, + { + "id": "CRY-05.2", + "title": "Offline Storage", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to remove unused data from online storage and archive it off-line in a secure location until it can be disposed of according to data retention requirements." + }, + { + "name": "assessment-objective", + "id": "CRY-05.2_CRY-05.2_A01", + "prose": "persistent organizational storage locations are identified." + }, + { + "name": "assessment-objective", + "id": "CRY-05.2_CRY-05.2_A02", + "prose": "recurring reviews of persistent organizational storage locations are conducted to identify sensitive / regulated data that is no longer needed." + }, + { + "name": "assessment-objective", + "id": "CRY-05.2_CRY-05.2_A03", + "prose": "the frequency with which to conduct reviews of persistent organizational storage locations is defined." + }, + { + "name": "assessment-objective", + "id": "CRY-05.2_CRY-05.2_A04", + "prose": "information to be removed from online storage and stored offline in a secure location is defined." + }, + { + "name": "assessment-objective", + "id": "CRY-05.2_CRY-05.2_A05", + "prose": "information is removed from online storage." + }, + { + "name": "assessment-objective", + "id": "CRY-05.2_CRY-05.2_A06", + "prose": "information is stored offline in a secure location." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-28-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-28-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sc-28-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-28-02" + }, + { + "rel": "part-of", + "href": "#CRY-05" + } + ] + }, + { + "id": "CRY-05.3", + "title": "Database Encryption", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure that database servers utilize encryption to protect the confidentiality of the data within the databases." + }, + { + "name": "assessment-objective", + "id": "CRY-05.3_CRY-05.3_A01", + "prose": "secure baseline configurations require database servers to utilize cryptographic mechanisms that are appropriate to protect the confidentiality of sensitive data within its databases." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#CRY-05" + } + ] + }, + { + "id": "CRY-06", + "title": "Non-Console Administrative Access", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Cryptographic mechanisms exist to protect the confidentiality and integrity of non-console administrative access." + }, + { + "name": "assessment-objective", + "id": "CRY-06_CRY-06_A01", + "prose": "cryptographic mechanisms are utilized to protect the confidentiality and integrity of non-console administrative access." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_4.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_12.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_4.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_4.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_12.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_4.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_12.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_2.2.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_2.2.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_2.2.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_2.2.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_2.2.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_2.2.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_2.2.7" + } + ] + }, + { + "id": "CRY-07", + "title": "Wireless Access Authentication & Encryption", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "CRY-07" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to protect the confidentiality and integrity of wireless networking technologies by implementing authentication and strong encryption." + }, + { + "name": "assessment-objective", + "id": "CRY-07_CRY-07_A01", + "prose": "configuration requirements are established for each type of wireless access." + }, + { + "name": "assessment-objective", + "id": "CRY-07_CRY-07_A02", + "prose": "connection requirements are established for each type of wireless access." + }, + { + "name": "assessment-objective", + "id": "CRY-07_CRY-07_A03", + "prose": "implementation guidance is established for each type of wireless access." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:sws-07" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-1.6" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-1.6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ac-18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-40" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-40" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ac-18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sc-40" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ac-18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-40" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ac-18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ac-18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ac-18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ac-18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:ac-18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:ac-18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ac-18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ac-18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.16.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_2.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_2.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_4.2.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_2.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_2.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_2.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_2.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_4.2.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_2.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_2.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_4.2.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_2.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_2.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_4.2.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_2.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_2.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_4.2.1.2" + } + ] + }, + { + "id": "CRY-08", + "title": "Public Key Infrastructure (PKI)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "CRY-08" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to securely implement an internal Public Key Infrastructure (PKI) infrastructure or obtain PKI services from a reputable PKI service provider." + }, + { + "name": "assessment-objective", + "id": "CRY-08_CRY-08_A01", + "prose": "requirements for key generation, distribution, storage, access and destruction are defined." + }, + { + "name": "assessment-objective", + "id": "CRY-08_CRY-08_A02", + "prose": "a certificate policy for issuing public key certificates is defined." + }, + { + "name": "assessment-objective", + "id": "CRY-08_CRY-08_A03", + "prose": "public key certificates are issued under an organization-defined certificate policy or public key certificates are obtained from an approved service provider." + }, + { + "name": "assessment-objective", + "id": "CRY-08_CRY-08_A04", + "prose": "only approved trust anchors are included in trust stores or certificate stores managed by the organization." + }, + { + "name": "assessment-objective", + "id": "CRY-08_CRY-08_A05", + "prose": "cryptographic keys are established whenever cryptography is employed." + }, + { + "name": "assessment-objective", + "id": "CRY-08_CRY-08_A06", + "prose": "cryptographic keys are managed whenever cryptography is employed." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:cek-08" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:log-11" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:cls-01" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:iam-10" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:sdv-01" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-1.8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-12-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-12-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-17" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-17" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:sc-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:sc-17" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-17" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:sc-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sc-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sc-17" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sc-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sc-17" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.13.10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.13.10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.13.10-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.13.10-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-2" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a04-2025" + } + ] + }, + { + "id": "CRY-08.1", + "title": "Availability", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Resiliency mechanisms exist to ensure the availability of data in the event of the loss of cryptographic keys." + }, + { + "name": "assessment-objective", + "id": "CRY-08.1_CRY-08.1_A01", + "prose": "resiliency mechanisms ensure the availability of data in the event of the loss of cryptographic keys when utilizing a centrally-managed cryptographic key management solution." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:recover" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_3.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_3.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_3.6.1" + }, + { + "rel": "part-of", + "href": "#CRY-08" + } + ] + }, + { + "id": "CRY-09", + "title": "Cryptographic Key Management", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "CRY-09" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to facilitate cryptographic key management controls to protect the confidentiality, integrity and availability of keys." + }, + { + "name": "assessment-objective", + "id": "CRY-09_CRY-09_A01", + "prose": "requirements for key generation, distribution, storage, access, and destruction are defined." + }, + { + "name": "assessment-objective", + "id": "CRY-09_CRY-09_A02", + "prose": "protected storage for cryptographic keys is provided using organization-defined criteria." + }, + { + "name": "assessment-objective", + "id": "CRY-09_CRY-09_A03", + "prose": "cryptographic keys are established in the system in accordance with organization-defined key management requirements." + }, + { + "name": "assessment-objective", + "id": "CRY-09_CRY-09_A04", + "prose": "cryptographic keys are managed in the system in accordance with organization-defined key management requirements." + }, + { + "name": "assessment-objective", + "id": "CRY-09_CRY-09_A05", + "prose": "cryptographic keys are established in the system in accordance with the following key management requirements: ." + }, + { + "name": "assessment-objective", + "id": "CRY-09_CRY-09_A06", + "prose": "cryptographic keys are managed in the system in accordance with the following key management requirements: ." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:cek-08" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:cek-10" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:cek-11" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:cek-12" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:cek-13" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:cek-14" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:cek-15" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:cek-16" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:cek-17" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:cek-18" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:cek-19" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:cek-20" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:cek-21" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:log-11" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:cls-01" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:iam-08" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:iam-10" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:iam-11" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:iam-12" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:iam-13" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:iam-14" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:iam-15" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:iam-16" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:sdv-01" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:sws-10" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:data-1.6" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-1.9-d" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-1.9-e" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-1.9-f" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.24" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_10.1.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.24" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.24-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-28-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-28-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.13.10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.13.10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.13.10-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.13.10-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.13.10.odp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.13.10-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.13.10-02" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a04-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_3.5.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_3.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_3.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_3.6.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_3.6.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_3.6.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_3.6.1.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_3.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_3.7.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_3.7.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_3.7.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_3.7.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_3.7.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_3.7.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_3.7.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_4.2.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_3.5.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_3.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_3.6.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_3.6.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_3.6.1.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_3.7.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_3.7.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_3.7.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_3.7.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_3.7.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_3.7.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_3.7.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_4.2.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_3.5.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_3.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_3.6.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_3.6.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_3.6.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_3.6.1.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_3.7.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_3.7.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_3.7.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_3.7.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_3.7.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_3.7.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_3.7.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_4.2.1.1" + } + ] + }, + { + "id": "CRY-09.1", + "title": "Symmetric Keys", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to facilitate the production and management of symmetric cryptographic keys using Federal Information Processing Standards (FIPS)-compliant key management technology and processes." + }, + { + "name": "assessment-objective", + "id": "CRY-09.1_CRY-09.1_A01", + "prose": "symmetric cryptographic keys are produced using organization-defined values key management technology and processes." + }, + { + "name": "assessment-objective", + "id": "CRY-09.1_CRY-09.1_A02", + "prose": "symmetric cryptographic keys are controlled using organization-defined values for key management technology and processes." + }, + { + "name": "assessment-objective", + "id": "CRY-09.1_CRY-09.1_A03", + "prose": "symmetric cryptographic keys are distributed using organization-defined values key management technology and processes." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-1.14" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-1.14-a" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-1.14-b" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-1.14-c" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-1.14-d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-12-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-12-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-12-02" + }, + { + "rel": "part-of", + "href": "#CRY-09" + } + ] + }, + { + "id": "CRY-09.2", + "title": "Asymmetric Keys", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to facilitate the production and management of asymmetric cryptographic keys using Federal Information Processing Standards (FIPS)-compliant key management technology and processes that protect the user’s private key." + }, + { + "name": "assessment-objective", + "id": "CRY-09.2_CRY-09.2_A01", + "prose": "asymmetric cryptographic keys are produced using organization-defined criteria." + }, + { + "name": "assessment-objective", + "id": "CRY-09.2_CRY-09.2_A02", + "prose": "asymmetric cryptographic keys are controlled using organization-defined criteria." + }, + { + "name": "assessment-objective", + "id": "CRY-09.2_CRY-09.2_A03", + "prose": "asymmetric cryptographic keys are distributed using organization-defined criteria." + }, + { + "name": "assessment-objective", + "id": "CRY-09.2_CRY-09.2_A04", + "prose": "one of the following organization-defined values is selected: \r\n(1) NSA-approved key management technology and processes. \r\n(2) prepositioned keying material. \r\n(3) DoD-approved or DoD-issued Medium Assurance PKI certificates. \r\n(4) DoD-approved or DoD-issued Medium Hardware Assurance PKI certificates and hardware security tokens that protect the user’s private key. or \r\n(5) certificates issued in accordance with organization-defined requirements." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-12-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-12-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-12-03" + }, + { + "rel": "part-of", + "href": "#CRY-09" + } + ] + }, + { + "id": "CRY-09.3", + "title": "Cryptographic Key Loss or Change", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "CRY-09.3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure the availability of information in the event of the loss of cryptographic keys by individual users." + }, + { + "name": "assessment-objective", + "id": "CRY-09.3_CRY-09.3_A01", + "prose": "information availability is maintained in the event of the loss of cryptographic keys by users." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:cek-12" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:cek-13" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:cek-14" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:cek-15" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:cek-16" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:cek-17" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:cek-19" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:iam-10" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:iam-11" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:iam-13" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.24" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_10.1.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.24" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-12-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-12-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:sc-12-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-12-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sc-12-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.13.10" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_2.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_3.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_3.7.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_2.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_2.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_2.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_2.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_3.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_3.7.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_2.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_3.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_3.7.5" + }, + { + "rel": "part-of", + "href": "#CRY-09" + } + ] + }, + { + "id": "CRY-09.4", + "title": "Control & Distribution of Cryptographic Keys", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "CRY-09.4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to facilitate the secure distribution of symmetric and asymmetric cryptographic keys using industry recognized key management technology and processes." + }, + { + "name": "assessment-objective", + "id": "CRY-09.4_CRY-09.4_A01", + "prose": "a centrally-managed cryptographic key management solution facilitates the secure distribution of symmetric and asymmetric cryptographic keys." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:cek-10" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:cek-11" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:cek-12" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:cek-15" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.24" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_10.1.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.24" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.13.10" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_3.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_3.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_3.6.1" + }, + { + "rel": "part-of", + "href": "#CRY-09" + } + ] + }, + { + "id": "CRY-09.5", + "title": "Assigned Owners", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure cryptographic keys are bound to individual identities." + }, + { + "name": "assessment-objective", + "id": "CRY-09.5_CRY-09.5_A01", + "prose": "secure baseline configurations ensure cryptographic keys are bound to individual identities." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#CRY-09" + } + ] + }, + { + "id": "CRY-09.6", + "title": "Third-Party Cryptographic Keys", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure customers are provided with appropriate key management guidance whenever cryptographic keys are shared." + }, + { + "name": "assessment-objective", + "id": "CRY-09.6_CRY-09.6_A01", + "prose": "customers are provided with appropriate key management guidance whenever cryptographic keys are shared." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_3.7.9" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_3.7.9" + }, + { + "rel": "part-of", + "href": "#CRY-09" + } + ] + }, + { + "id": "CRY-09.7", + "title": "External System Cryptographic Key Control", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to maintain control of cryptographic keys for encrypted material stored or transmitted through an external system." + }, + { + "name": "assessment-objective", + "id": "CRY-09.7_CRY-09.7_A01", + "prose": "exclusive control of cryptographic keys is maintained for encrypted material stored or transmitted through an external system." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-09-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-09-06" + }, + { + "rel": "part-of", + "href": "#CRY-09" + } + ] + }, + { + "id": "CRY-10", + "title": "Transmission of Cybersecurity & Data Protection Attributes", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to associate Technology Assets, Applications and/or Services (TAAS) security attributes with information exchanged between TAAS." + }, + { + "name": "assessment-objective", + "id": "CRY-10_CRY-10_A01", + "prose": "cybersecurity / data privacy attributes associated with information exchanged are defined." + }, + { + "name": "assessment-objective", + "id": "CRY-10_CRY-10_A02", + "prose": "cybersecurity / data privacy attributes are associated with information exchanged between systems." + }, + { + "name": "assessment-objective", + "id": "CRY-10_CRY-10_A03", + "prose": "security /privacy attributes are associated with information exchanged between system components." + }, + { + "name": "assessment-objective", + "id": "CRY-10_CRY-10_A04", + "prose": "the integrity of transmitted cybersecurity / data privacy attributes is verified." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-16" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-16-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-16" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-16-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sc-16-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-16" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-16-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sc-16-01" + } + ] + }, + { + "id": "CRY-11", + "title": "Certificate Authorities", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to enable the use of organization-defined Certificate Authorities (CAs) to facilitate the establishment of protected sessions." + }, + { + "name": "assessment-objective", + "id": "CRY-11_CRY-11_A01", + "prose": "certificate authorities to be allowed for verification of the establishment of protected sessions are defined." + }, + { + "name": "assessment-objective", + "id": "CRY-11_CRY-11_A02", + "prose": "only the use of organization-defined certificated authorities for verification of the establishment of protected sessions is allowed." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-23-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-23-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-23-05" + } + ] + }, + { + "id": "CRY-12", + "title": "Certificate Monitoring", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "CRY-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to discover when new certificates are issued for organization-controlled domains." + }, + { + "name": "assessment-objective", + "id": "CRY-12_CRY-12_A01", + "prose": "processes exist to proactively discover when new certificates are issued for organization-controlled domains." + }, + { + "name": "assessment-objective", + "id": "CRY-12_CRY-12_A02", + "prose": "incident response operations are initiated when new certificates are issued without authorization." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + } + ] + }, + { + "id": "CRY-13", + "title": "Cryptographic Hash", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "CRY-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to utilize hash algorithms to generate a hash value that can be used to validate the integrity of data and/or software." + }, + { + "name": "assessment-objective", + "id": "CRY-13_CRY-13_A01", + "prose": "approved hash algorithms are defined." + }, + { + "name": "assessment-objective", + "id": "CRY-13_CRY-13_A02", + "prose": "hash algorithms are to generate a hash value that can be used to validate the integrity of data and/or software." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.14.1e" + } + ] + } + ] + }, + { + "id": "data-classification-handling", + "title": "Data Classification & Handling", + "controls": [ + { + "id": "DCH-01", + "title": "Data Protection", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "DCH-01" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.33", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.34", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.35", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.36", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.37", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.38", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.39", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to facilitate the implementation of data protection controls." + }, + { + "name": "assessment-objective", + "id": "DCH-01_DCH-01_A01", + "prose": "paper media containing sensitive / regulated data is physically controlled." + }, + { + "name": "assessment-objective", + "id": "DCH-01_DCH-01_A02", + "prose": "digital media containing sensitive / regulated data is physically controlled." + }, + { + "name": "assessment-objective", + "id": "DCH-01_DCH-01_A03", + "prose": "paper media containing sensitive / regulated data is securely stored." + }, + { + "name": "assessment-objective", + "id": "DCH-01_DCH-01_A04", + "prose": "digital media containing sensitive / regulated data is securely stored." + }, + { + "name": "assessment-objective", + "id": "DCH-01_DCH-01_A05", + "prose": "data classification & handling management operations are conducted according to documented policies, standards, procedures and/or other organizational directives." + }, + { + "name": "assessment-objective", + "id": "DCH-01_DCH-01_A06", + "prose": "adequate resources (e.g., people, processes, technologies, data and/or facilities) are provided to support data classification & handling management operations." + }, + { + "name": "assessment-objective", + "id": "DCH-01_DCH-01_A07", + "prose": "responsibility and authority for the performance of data classification & handling management-related activities are assigned to designated personnel." + }, + { + "name": "assessment-objective", + "id": "DCH-01_DCH-01_A08", + "prose": "personnel performing data classification & handling management-related activities have the skills and knowledge needed to perform their assigned duties." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_3.0" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_3.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_3.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_11.0" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_11.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_3.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_3.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_11.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_3.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_3.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_11.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_3.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_3.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_11.3" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo14.01" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo14.03" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo14.08" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo14.09" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss06.02" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss06.06" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_13" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:cek-04" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dsp-10" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dsp-17" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:lgl-08" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:data-1.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.9" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.12" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.33" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_7.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.12" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_8.1.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_8.1.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_8.2.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_8.2.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.9" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.10" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.12" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.33" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_7.10" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.12" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_7.5.3-b" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_7.5.3" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_7.5.3-a" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_7.5.3-b" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:id.im-p" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:gv.po-p1" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:ct.dm-p1" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:ct.dm-p2" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:ct.dm-p3" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:ct.dm-p4" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:pr.ds-p" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:mp-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:mp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:mp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:mp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.310-d" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.312-c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:mp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:mp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:mp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:mp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:mp-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:mp-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:mp-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:mp-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.8.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.8.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:nfo-mp-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.01.d.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.01.d.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.08.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.8.1-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.8.1-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.8.1-c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.8.1-d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-1" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.am-08" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ds" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ds-01" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ds-02" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ds-10" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_9.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_9.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_9.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_9.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_9.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_9.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-p2pe:_9.4.1" + } + ] + }, + { + "id": "DCH-01.1", + "title": "Data Stewardship", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "DCH-01.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure data stewardship is assigned, documented and communicated." + }, + { + "name": "assessment-objective", + "id": "DCH-01.1_DCH-01.1_A01", + "prose": "organizational data ownership requirements are defined." + }, + { + "name": "assessment-objective", + "id": "DCH-01.1_DCH-01.1_A02", + "prose": "data ownership is formally assigned to an individual through defined roles and responsibilities." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_3.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_3.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_3.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_3.1" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_13" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dsp-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-04-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sa-04-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-04-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:sa-04-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sa-04-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sa-04-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.08.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.08.05.a" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.am-08" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ds" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_9.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_9.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_9.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_9.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_9.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_9.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-p2pe:_9.4.1" + }, + { + "rel": "part-of", + "href": "#DCH-01" + } + ] + }, + { + "id": "DCH-01.2", + "title": "Sensitive / Regulated Data Protection", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "DCH-01.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to protect sensitive/regulated data wherever it is processed and/or stored." + }, + { + "name": "assessment-objective", + "id": "DCH-01.2_DCH-01.2_A01", + "prose": "sensitive / regulated data inventories exist." + }, + { + "name": "assessment-objective", + "id": "DCH-01.2_DCH-01.2_A02", + "prose": "protection mechanisms are defined for each type of sensitive / regulated data." + }, + { + "name": "assessment-objective", + "id": "DCH-01.2_DCH-01.2_A03", + "prose": "organization-defined mechanisms protect sensitive / regulated data wherever it is stored." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_3.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_3.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_3.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_3.1" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss06.02" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss06.06" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:data-1.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_7.5.3-b" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_7.5.3" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_7.5.3-a" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_7.5.3-b" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:ct.dm-p1" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:ct.dm-p2" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.312-c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.10.6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.01.d.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.01.d.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.20.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.20.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.20.c.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.20.d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.06.05.d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.08.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.08.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.08.05.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.17.01.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.14.5e" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-4" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ds" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_3.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_3.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_3.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_3.5.1" + }, + { + "rel": "part-of", + "href": "#DCH-01" + } + ] + }, + { + "id": "DCH-01.3", + "title": "Sensitive / Regulated Media Records", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "DCH-01.3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure media records for sensitive/regulated data contain sufficient information to determine the potential impact in the event of a data loss incident." + }, + { + "name": "assessment-objective", + "id": "DCH-01.3_DCH-01.3_A01", + "prose": "data stewards document the potential impact in the event of a data loss incident." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.08.05.c" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ds" + }, + { + "rel": "part-of", + "href": "#DCH-01" + } + ] + }, + { + "id": "DCH-01.4", + "title": "Defining Access Authorizations for Sensitive / Regulated Data", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "DCH-01.4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to explicitly define authorizations for specific individuals and/or roles for logical and /or physical access to sensitive/regulated data." + }, + { + "name": "assessment-objective", + "id": "DCH-01.4_DCH-01.4_A01", + "prose": "specific individuals and/or roles for logical and /or physical access to sensitive / regulated data are defined." + }, + { + "name": "assessment-objective", + "id": "DCH-01.4_DCH-01.4_A02", + "prose": "only authorized individuals are provided logical and /or physical access to sensitive / regulated data." + }, + { + "name": "assessment-objective", + "id": "DCH-01.4_DCH-01.4_A03", + "prose": "the system security plan is protected from unauthorized disclosure." + }, + { + "name": "assessment-objective", + "id": "DCH-01.4_DCH-01.4_A04", + "prose": "the SCRM plan is protected from unauthorized disclosure." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_3.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_3.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_3.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_3.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_3.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_3.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_3.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_3.3" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss06.02" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss06.06" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:bcr-05" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_7.5.3" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_7.5.3-a" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_7.5.3-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.04.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.08.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.08.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.10.01.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.15.02.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.17.01.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.15.02.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.17.01.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-4" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ds" + }, + { + "rel": "part-of", + "href": "#DCH-01" + } + ] + }, + { + "id": "DCH-02", + "title": "Data & Asset Classification", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "DCH-02" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure data and assets are categorized in accordance with applicable statutory, regulatory and contractual requirements." + }, + { + "name": "assessment-objective", + "id": "DCH-02_DCH-02_A01", + "prose": "a data classification scheme is defined that covers reasonable data types to address the organization's operational needs." + }, + { + "name": "assessment-objective", + "id": "DCH-02_DCH-02_A02", + "prose": "data and assets are categorized in accordance with the data classification scheme that addresses applicable statutory, regulatory and contractual requirements." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_3.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_3.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_3.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_3.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_3.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_3.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_3.7" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo14.05" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_13" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dcs-06" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dsp-04" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:dat-01" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:gvn-06" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:data-1.1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:data-1.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.9" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.12" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_8.1.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_8.2.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.9" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.12" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-1.6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-37-r2:task-p-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-37-r2:task-c-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.11.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.08.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.08.04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-1" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.am-05" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ds" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_9.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_9.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_9.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_9.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_9.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_9.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.4.2" + } + ] + }, + { + "id": "DCH-02.1", + "title": "Highest Classification Level", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure that Technology Assets, Applications and/or Services (TAAS) are classified according to the highest level of data sensitivity that is stored, transmitted and/or processed." + }, + { + "name": "assessment-objective", + "id": "DCH-02.1_DCH-02.1_A01", + "prose": "data stewards formally categorize systems, applications and services in a System Security & Privacy Plan (SSPP) or similar documentation, according to the highest level of data sensitivity that is stored, transmitted and/or processed." + }, + { + "name": "assessment-objective", + "id": "DCH-02.1_DCH-02.1_A02", + "prose": "a validation process exists to ensure that systems, applications and services are classified according to the highest level of data sensitivity that is stored, transmitted and/or processed." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_3.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_3.12" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_3.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_3.12" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_3.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_3.12" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dsp-17" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:gvn-06" + }, + { + "rel": "part-of", + "href": "#DCH-02" + } + ] + }, + { + "id": "DCH-03", + "title": "Media Access", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "DCH-03" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to control and restrict access to digital and non-digital media to authorized individuals." + }, + { + "name": "assessment-objective", + "id": "DCH-03_DCH-03_A01", + "prose": "access to sensitive / regulated data on system media is restricted to authorized personnel or roles." + }, + { + "name": "assessment-objective", + "id": "DCH-03_DCH-03_A02", + "prose": "types of digital media to which access is restricted are defined." + }, + { + "name": "assessment-objective", + "id": "DCH-03_DCH-03_A03", + "prose": "personnel or roles authorized to access digital media is/are defined." + }, + { + "name": "assessment-objective", + "id": "DCH-03_DCH-03_A04", + "prose": "types of non-digital media to which access is restricted are defined." + }, + { + "name": "assessment-objective", + "id": "DCH-03_DCH-03_A05", + "prose": "personnel or roles authorized to access non-digital media is/are defined." + }, + { + "name": "assessment-objective", + "id": "DCH-03_DCH-03_A06", + "prose": "access to types of non-digital media is restricted to personnel or roles." + }, + { + "name": "assessment-objective", + "id": "DCH-03_DCH-03_A07", + "prose": "access to CUI on system media is restricted to authorized personnel or roles." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_3.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_3.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_3.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_3.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_3.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_3.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_3.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_3.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_7.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_7.10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:mp-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:mp-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:mp-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:mp-02" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.310-d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:mp-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:mp-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:mp-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:mp-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.1.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.8.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.08.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.08.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.3-c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.8.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.08.02" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ds" + } + ] + }, + { + "id": "DCH-03.1", + "title": "Disclosure of Information", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "DCH-03.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to restrict the disclosure of sensitive/regulated data to authorized parties with a need to know." + }, + { + "name": "assessment-objective", + "id": "DCH-03.1_DCH-03.1_A01", + "prose": "a documented data classification scheme exists that covers data protection controls associated with sharing information with third-parties." + }, + { + "name": "assessment-objective", + "id": "DCH-03.1_DCH-03.1_A02", + "prose": "data stewards establish formalized business process-specific procedures to limit the disclosure of data to authorized parties." + }, + { + "name": "assessment-objective", + "id": "DCH-03.1_DCH-03.1_A03", + "prose": "the system security plan is protected from unauthorized disclosure." + }, + { + "name": "assessment-objective", + "id": "DCH-03.1_DCH-03.1_A04", + "prose": "the SCRM plan is protected from unauthorized disclosure." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_3.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_3.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_3.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_3.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_3.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_3.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_3.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_3.3" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:bcr-05" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dsp-18" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_7.4-a" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_7.4-b" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_7.4-c" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_7.4-d" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_7.4-e" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_7.5.3.1" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_7.5.3.1-a" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_7.5.3.2" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_7.5.3.2-a" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_7.5.3.2-b" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_7.5.3.2-c" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_7.5.3.2-d" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_7.5.3" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_7.5.3-a" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_7.5.3-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.22.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.15.02.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.17.01.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.15.02.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.17.01.c" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_7.1" + }, + { + "rel": "part-of", + "href": "#DCH-03" + } + ] + }, + { + "id": "DCH-03.2", + "title": "Masking Displayed Data", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to apply data masking to sensitive/regulated information that is displayed or printed." + }, + { + "name": "assessment-objective", + "id": "DCH-03.2_DCH-03.2_A01", + "prose": "automated mechanisms apply data masking to sensitive information that is displayed or printed, where technically feasible." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.11" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.11" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_3.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_3.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_3.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_3.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_3.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_3.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_3.4.1" + }, + { + "rel": "part-of", + "href": "#DCH-03" + } + ] + }, + { + "id": "DCH-03.3", + "title": "Controlled Release", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to validate cybersecurity and data protection attributes prior to releasing information to external Technology Assets, Applications and/or Services (TAAS)." + }, + { + "name": "assessment-objective", + "id": "DCH-03.3_DCH-03.3_A01", + "prose": "the external system or system component to which to release information is/are defined." + }, + { + "name": "assessment-objective", + "id": "DCH-03.3_DCH-03.3_A02", + "prose": "controls to be provided by the external system or system component are defined." + }, + { + "name": "assessment-objective", + "id": "DCH-03.3_DCH-03.3_A03", + "prose": "controls used to validate appropriateness of information to be released are defined." + }, + { + "name": "assessment-objective", + "id": "DCH-03.3_DCH-03.3_A04", + "prose": "information is released outside of the system only if the receiving system or system component provides organization-defined controls." + }, + { + "name": "assessment-objective", + "id": "DCH-03.3_DCH-03.3_A05", + "prose": "information is released outside of the system only if organization-defined controls are used to validate the appropriateness of the information designated for release." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ac-3-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-03-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-03-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ac-3-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ac-3-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ac-3-9" + }, + { + "rel": "part-of", + "href": "#DCH-03" + } + ] + }, + { + "id": "DCH-04", + "title": "Media Marking", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "DCH-04" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to mark media in accordance with data protection requirements so that personnel are alerted to distribution limitations, handling caveats and applicable security requirements." + }, + { + "name": "assessment-objective", + "id": "DCH-04_DCH-04_A01", + "prose": "types of media exempt from marking when remaining in controlled areas are defined." + }, + { + "name": "assessment-objective", + "id": "DCH-04_DCH-04_A02", + "prose": "media is marked with applicable sensitive / regulated data markings." + }, + { + "name": "assessment-objective", + "id": "DCH-04_DCH-04_A03", + "prose": "media is marked to indicate distribution limitations, handling caveats and applicable security markings (if any) of the information." + }, + { + "name": "assessment-objective", + "id": "DCH-04_DCH-04_A04", + "prose": "controlled areas where media is exempt from marking are defined." + }, + { + "name": "assessment-objective", + "id": "DCH-04_DCH-04_A05", + "prose": "types of media exempted from marking remain within controlled areas." + }, + { + "name": "assessment-objective", + "id": "DCH-04_DCH-04_A06", + "prose": "system media that contain sensitive / regulated data are marked to indicate distribution limitations." + }, + { + "name": "assessment-objective", + "id": "DCH-04_DCH-04_A07", + "prose": "system media that contain sensitive / regulated data are marked to indicate handling caveats." + }, + { + "name": "assessment-objective", + "id": "DCH-04_DCH-04_A08", + "prose": "system media that contain sensitive / regulated data are marked to indicate applicable sensitive / regulated data markings." + }, + { + "name": "assessment-objective", + "id": "DCH-04_DCH-04_A09", + "prose": "system media that contain CUI are marked to indicate distribution limitations." + }, + { + "name": "assessment-objective", + "id": "DCH-04_DCH-04_A10", + "prose": "system media that contain CUI are marked to indicate handling caveats." + }, + { + "name": "assessment-objective", + "id": "DCH-04_DCH-04_A11", + "prose": "system media that contain CUI are marked to indicate applicable CUI markings." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.13" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_8.1.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_8.2.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.10" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:mp-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:mp-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:mp-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:mp-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:mp-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:mp-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:mp-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.8.4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.08.04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.8.4-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.8.4-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.08.04-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.08.04-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.08.04-03" + } + ] + }, + { + "id": "DCH-04.1", + "title": "Automated Marking", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to mark physical media and digital files to indicate the distribution limitations, handling requirements and applicable security markings (if any) of the information to aid Data Loss Prevention (DLP) technologies." + }, + { + "name": "assessment-objective", + "id": "DCH-04.1_DCH-04.1_A01", + "prose": "automated mechanisms mark media and system output to indicate the distribution limitations, handling requirements and applicable security markings (if any) of the information to enable the use of Data Loss Prevention (DLP) and similar automated data protection technologies." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:uem-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:mp-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:mp-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:mp-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:mp-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:mp-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:mp-03" + }, + { + "rel": "part-of", + "href": "#DCH-04" + } + ] + }, + { + "id": "DCH-05", + "title": "Cybersecurity & Data Protection Attributes", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to bind cybersecurity and data protection attributes to information as it is stored, transmitted and processed." + }, + { + "name": "assessment-objective", + "id": "DCH-05_DCH-05_A01", + "prose": "types of security / privacy attributes associated with cybersecurity attribute values for information in storage, in process, and/or in transmission are defined." + }, + { + "name": "assessment-objective", + "id": "DCH-05_DCH-05_A02", + "prose": "the means to associate organization-defined types of security / privacy attributes with organization-defined security attribute values for information in storage, in process, and/or in transmission are provided." + }, + { + "name": "assessment-objective", + "id": "DCH-05_DCH-05_A03", + "prose": "the frequency at which to review cybersecurity / data privacy attributes for applicability is defined." + }, + { + "name": "assessment-objective", + "id": "DCH-05_DCH-05_A04", + "prose": "attributes are reviewed according to an organization-defined frequency." + }, + { + "name": "assessment-objective", + "id": "DCH-05_DCH-05_A05", + "prose": "attribute associations are made." + }, + { + "name": "assessment-objective", + "id": "DCH-05_DCH-05_A06", + "prose": "changes to attributes are audited." + }, + { + "name": "assessment-objective", + "id": "DCH-05_DCH-05_A07", + "prose": "attribute associations are retained with the information." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:dat-01" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:ct.dm-p7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ac-16" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-16" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-16" + } + ] + }, + { + "id": "DCH-05.1", + "title": "Dynamic Attribute Association", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to dynamically associate cybersecurity and data protection attributes with individuals and objects as information is created, combined, or transformed, in accordance with organization-defined cybersecurity and data protection policies." + }, + { + "name": "assessment-objective", + "id": "DCH-05.1_DCH-05.1_A01", + "prose": "subjects or objects with which cybersecurity / data privacy attributes are to be dynamically associated as information is created and combined are defined." + }, + { + "name": "assessment-objective", + "id": "DCH-05.1_DCH-05.1_A02", + "prose": "cybersecurity / data privacy policies requiring dynamic association of cybersecurity / data privacy attributes with subjects and objects are defined." + }, + { + "name": "assessment-objective", + "id": "DCH-05.1_DCH-05.1_A03", + "prose": "cybersecurity / data privacy attributes are dynamically associated with organization-defined subjects or objects as information is created or combined." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-16-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-16-01" + }, + { + "rel": "part-of", + "href": "#DCH-05" + } + ] + }, + { + "id": "DCH-05.2", + "title": "Attribute Value Changes By Authorized Individuals", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to provide authorized individuals (or processes acting on behalf of individuals) the capability to define or change the value of associated cybersecurity and data protection attributes." + }, + { + "name": "assessment-objective", + "id": "DCH-05.2_DCH-05.2_A01", + "prose": "authorized individuals (or processes acting on behalf of individuals) are provided with the capability to define or change the value of associated cybersecurity / data privacy attributes." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-16-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-16-02" + }, + { + "rel": "part-of", + "href": "#DCH-05" + } + ] + }, + { + "id": "DCH-05.3", + "title": "Maintenance of Attribute Associations By System", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to maintain the association and integrity of cybersecurity and data protection attributes to individuals and objects." + }, + { + "name": "assessment-objective", + "id": "DCH-05.3_DCH-05.3_A01", + "prose": "cybersecurity / data privacy attributes that require association and integrity maintenance are defined." + }, + { + "name": "assessment-objective", + "id": "DCH-05.3_DCH-05.3_A02", + "prose": "subjects requiring the association and integrity of cybersecurity / data privacy attributes to such subjects to be maintained are defined." + }, + { + "name": "assessment-objective", + "id": "DCH-05.3_DCH-05.3_A03", + "prose": "objects requiring the association and integrity of cybersecurity / data privacy attributes to such objects to be maintained are defined." + }, + { + "name": "assessment-objective", + "id": "DCH-05.3_DCH-05.3_A04", + "prose": "the association and integrity of organization-defined cybersecurity / data privacy attributes to organization-defined subjects is maintained." + }, + { + "name": "assessment-objective", + "id": "DCH-05.3_DCH-05.3_A05", + "prose": "the association and integrity of organization-defined cybersecurity / data privacy attributes to organization-defined objects is maintained." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-16-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-16-03" + }, + { + "rel": "part-of", + "href": "#DCH-05" + } + ] + }, + { + "id": "DCH-05.4", + "title": "Association of Attributes By Authorized Individuals", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to provide the capability to associate cybersecurity and data protection attributes with individuals and objects by authorized individuals (or processes acting on behalf of individuals)." + }, + { + "name": "assessment-objective", + "id": "DCH-05.4_DCH-05.4_A01", + "prose": "cybersecurity / data privacy attributes associated with subjects by authorized individuals (or processes acting on behalf of individuals) are defined." + }, + { + "name": "assessment-objective", + "id": "DCH-05.4_DCH-05.4_A02", + "prose": "cybersecurity / data privacy attributes associated with objects by authorized individuals (or processes acting on behalf of individuals) are defined." + }, + { + "name": "assessment-objective", + "id": "DCH-05.4_DCH-05.4_A03", + "prose": "subjects requiring the association of cybersecurity / data privacy attributes by authorized individuals (or processes acting on behalf of individuals) are defined." + }, + { + "name": "assessment-objective", + "id": "DCH-05.4_DCH-05.4_A04", + "prose": "objects requiring the association of cybersecurity / data privacy attributes by authorized individuals (or processes acting on behalf of individuals) are defined." + }, + { + "name": "assessment-objective", + "id": "DCH-05.4_DCH-05.4_A05", + "prose": "authorized individuals (or processes acting on behalf of individuals) are provided with the capability to associate organization-defined cybersecurity / data privacy attributes with organization-defined subjects." + }, + { + "name": "assessment-objective", + "id": "DCH-05.4_DCH-05.4_A06", + "prose": "authorized individuals (or processes acting on behalf of individuals) are provided with the capability to associate organization-defined cybersecurity / data privacy attributes with organization-defined objects." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-16-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-16-04" + }, + { + "rel": "part-of", + "href": "#DCH-05" + } + ] + }, + { + "id": "DCH-05.5", + "title": "Attribute Displays for Output Devices", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to display cybersecurity and data protection attributes in human-readable form on each object that the system transmits to output devices to identify special dissemination, handling or distribution instructions using human-readable, standard naming conventions." + }, + { + "name": "assessment-objective", + "id": "DCH-05.5_DCH-05.5_A01", + "prose": "special dissemination, handling or distribution instructions to be used for each object that the system transmits to output devices are defined." + }, + { + "name": "assessment-objective", + "id": "DCH-05.5_DCH-05.5_A02", + "prose": "human-readable, standard naming conventions for the cybersecurity / data privacy attributes to be displayed in human-readable form on each object that the system transmits to output devices are defined." + }, + { + "name": "assessment-objective", + "id": "DCH-05.5_DCH-05.5_A03", + "prose": "cybersecurity / data privacy attributes are displayed in human-readable form on each object that the system transmits to output devices to identify organization-defined instructions using organization-defined naming conventions." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-16-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-16-05" + }, + { + "rel": "part-of", + "href": "#DCH-05" + } + ] + }, + { + "id": "DCH-05.6", + "title": "Data Subject Attribute Associations", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to require personnel to associate and maintain the association of cybersecurity and data protection attributes with individuals and objects in accordance with cybersecurity and data protection policies." + }, + { + "name": "assessment-objective", + "id": "DCH-05.6_DCH-05.6_A01", + "prose": "cybersecurity / data privacy attributes associated with subjects are defined." + }, + { + "name": "assessment-objective", + "id": "DCH-05.6_DCH-05.6_A02", + "prose": "cybersecurity / data privacy attributes associated with objects are defined." + }, + { + "name": "assessment-objective", + "id": "DCH-05.6_DCH-05.6_A03", + "prose": "subjects to be associated with cybersecurity / data privacy attributes are defined." + }, + { + "name": "assessment-objective", + "id": "DCH-05.6_DCH-05.6_A04", + "prose": "objects to be associated with cybersecurity / data privacy attributes are defined." + }, + { + "name": "assessment-objective", + "id": "DCH-05.6_DCH-05.6_A05", + "prose": "cybersecurity / data privacy policies that require personnel to associate and maintain the association of cybersecurity / data privacy attributes with subjects and objects." + }, + { + "name": "assessment-objective", + "id": "DCH-05.6_DCH-05.6_A06", + "prose": "personnel are required to associate and maintain the association of organization-defined cybersecurity / data privacy attributes with organization-defined subjects in accordance with organization-defined policies." + }, + { + "name": "assessment-objective", + "id": "DCH-05.6_DCH-05.6_A07", + "prose": "personnel are required to associate and maintain the association of organization-defined cybersecurity / data privacy attributes with organization-defined objects in accordance with organization-defined policies." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-16-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-16-06" + }, + { + "rel": "part-of", + "href": "#DCH-05" + } + ] + }, + { + "id": "DCH-05.7", + "title": "Consistent Attribute Interpretation", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to provide a consistent, organizationally agreed upon interpretation of cybersecurity and data protection attributes employed in access enforcement and flow enforcement decisions between distributed system components." + }, + { + "name": "assessment-objective", + "id": "DCH-05.7_DCH-05.7_A01", + "prose": "a consistent interpretation of cybersecurity / data privacy attributes transmitted between distributed system components is provided." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-16-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-16-07" + }, + { + "rel": "part-of", + "href": "#DCH-05" + } + ] + }, + { + "id": "DCH-05.8", + "title": "Identity Association Techniques & Technologies", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to associate cybersecurity and data protection attributes to information." + }, + { + "name": "assessment-objective", + "id": "DCH-05.8_DCH-05.8_A01", + "prose": "techniques and technologies to be implemented in associating cybersecurity / data privacy attributes to information are defined." + }, + { + "name": "assessment-objective", + "id": "DCH-05.8_DCH-05.8_A02", + "prose": "organization-defined techniques and technologies are implemented in associating cybersecurity / data privacy attributes to information." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-16-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-16-08" + }, + { + "rel": "part-of", + "href": "#DCH-05" + } + ] + }, + { + "id": "DCH-05.9", + "title": "Attribute Reassignment", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to reclassify data as required, due to changing business/technical requirements." + }, + { + "name": "assessment-objective", + "id": "DCH-05.9_DCH-05.9_A01", + "prose": "techniques or procedures used to validate regarding mechanisms for cybersecurity / data privacy attributes are defined." + }, + { + "name": "assessment-objective", + "id": "DCH-05.9_DCH-05.9_A02", + "prose": "cybersecurity / data privacy attributes associated with information are changed only via regarding mechanisms validated using organization-defined techniques or procedures." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-16-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-16-09" + }, + { + "rel": "part-of", + "href": "#DCH-05" + } + ] + }, + { + "id": "DCH-05.10", + "title": "Attribute Configuration By Authorized Individuals", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to provide authorized individuals the capability to define or change the type and value of cybersecurity and data protection attributes available for association with subjects and objects." + }, + { + "name": "assessment-objective", + "id": "DCH-05.10_DCH-05.10_A01", + "prose": "authorized individuals are provided with the capability to define or change the type and value of cybersecurity / data privacy attributes available for association with subjects and objects." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-16-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-16-10" + }, + { + "rel": "part-of", + "href": "#DCH-05" + } + ] + }, + { + "id": "DCH-05.11", + "title": "Audit Changes", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to audit changes to cybersecurity and data protection attributes and responds to events in accordance with incident response procedures." + }, + { + "name": "assessment-objective", + "id": "DCH-05.11_DCH-05.11_A01", + "prose": "documented procedures exist to perform reviews of changes to cybersecurity / data privacy attributes." + }, + { + "name": "assessment-objective", + "id": "DCH-05.11_DCH-05.11_A02", + "prose": "actions taken to respond to unauthorized changes are per the organization's Incident Response Plan (IRP) or similar documented procedures." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "part-of", + "href": "#DCH-05" + } + ] + }, + { + "id": "DCH-06", + "title": "Media Storage", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "DCH-06" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to: \r\n(1) Physically control and securely store digital and non-digital media within controlled areas using organization-defined security measures; and\r\n(2) Protect system media until the media are destroyed or sanitized using approved equipment, techniques and procedures." + }, + { + "name": "assessment-objective", + "id": "DCH-06_DCH-06_A01", + "prose": "types of digital media to be securely stored are defined." + }, + { + "name": "assessment-objective", + "id": "DCH-06_DCH-06_A02", + "prose": "types of non-digital media to be securely stored are defined." + }, + { + "name": "assessment-objective", + "id": "DCH-06_DCH-06_A03", + "prose": "controlled areas within which to securely store digital media are defined." + }, + { + "name": "assessment-objective", + "id": "DCH-06_DCH-06_A04", + "prose": "controlled areas within which to securely store non-digital media are defined." + }, + { + "name": "assessment-objective", + "id": "DCH-06_DCH-06_A05", + "prose": "types of digital media are securely stored within controlled areas." + }, + { + "name": "assessment-objective", + "id": "DCH-06_DCH-06_A06", + "prose": "types of non-digital media are securely stored within controlled areas." + }, + { + "name": "assessment-objective", + "id": "DCH-06_DCH-06_A07", + "prose": "system media types are protected until the media are destroyed or sanitized using approved equipment, techniques and procedures." + }, + { + "name": "assessment-objective", + "id": "DCH-06_DCH-06_A08", + "prose": "system media that contain sensitive / regulated data are physically controlled." + }, + { + "name": "assessment-objective", + "id": "DCH-06_DCH-06_A09", + "prose": "system media that contain sensitive / regulated data are securely stored." + }, + { + "name": "assessment-objective", + "id": "DCH-06_DCH-06_A10", + "prose": "system media that contain CUI are physically controlled." + }, + { + "name": "assessment-objective", + "id": "DCH-06_DCH-06_A11", + "prose": "system media that contain CUI are securely stored." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_7.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_7.10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:mp-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:mp-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:mp-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:mp-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:mp-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:mp-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:mp-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:mp-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:mp-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:mp-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.8.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.08.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.08.01-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.08.01-02" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.am-07" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.4.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_9.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_9.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_9.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_9.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_9.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_9.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.4.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.4.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-p2pe:_9.4.1" + } + ] + }, + { + "id": "DCH-06.1", + "title": "Physically Secure All Media", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "DCH-06.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to physically secure all media that contains sensitive information." + }, + { + "name": "assessment-objective", + "id": "DCH-06.1_DCH-06.1_A01", + "prose": "types of digital media to be physically controlled are defined." + }, + { + "name": "assessment-objective", + "id": "DCH-06.1_DCH-06.1_A02", + "prose": "types of non-digital media to be physically controlled are defined." + }, + { + "name": "assessment-objective", + "id": "DCH-06.1_DCH-06.1_A03", + "prose": "types of digital media are physically controlled." + }, + { + "name": "assessment-objective", + "id": "DCH-06.1_DCH-06.1_A04", + "prose": "types of non-digital media are physically controlled." + }, + { + "name": "assessment-objective", + "id": "DCH-06.1_DCH-06.1_A05", + "prose": "system media types are protected until the media are destroyed or sanitized using approved equipment, techniques and procedures." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.08.01" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.4.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_9.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_9.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_9.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_9.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_9.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_9.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.4.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.4.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-p2pe:_9.4.1" + }, + { + "rel": "part-of", + "href": "#DCH-06" + } + ] + }, + { + "id": "DCH-06.2", + "title": "Sensitive Data Inventories", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "DCH-06.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to maintain inventory logs of all sensitive media and conduct sensitive media inventories at least annually." + }, + { + "name": "assessment-objective", + "id": "DCH-06.2_DCH-06.2_A01", + "prose": "an inventory is maintained for all sensitive / regulated data." + }, + { + "name": "assessment-objective", + "id": "DCH-06.2_DCH-06.2_A02", + "prose": "recurring inventories keep sensitive / regulated data inventories current and accurate." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_3.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_3.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_3.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_3.2" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss06.02" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dsp-17" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:id.im-p3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.11.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.11.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.1.2e" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-1" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.am-07" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.4.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.4.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.4.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.4.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.4.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.4.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.4.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.4.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.4.5.1" + }, + { + "rel": "part-of", + "href": "#DCH-06" + } + ] + }, + { + "id": "DCH-06.3", + "title": "Periodic Scans for Sensitive / Regulated Data", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "DCH-06.3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to periodically scan unstructured data sources for sensitive/regulated data or data requiring special protection measures by statutory, regulatory or contractual obligations." + }, + { + "name": "assessment-objective", + "id": "DCH-06.3_DCH-06.3_A01", + "prose": "periodic scans of unstructured data sources are used to identify sensitive / regulated data, or data requiring special protection measures, per statutory, regulatory or contractual obligations." + }, + { + "name": "assessment-objective", + "id": "DCH-06.3_DCH-06.3_A02", + "prose": "actions are taken to respond to the discovery of unauthorized sensitive / regulated data repositories are per the organization's Incident Response Plan (IRP), or similar documented procedures." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_3.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_3.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_3.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_3.2" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.am-07" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:a3.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:a3.2.5.1" + }, + { + "rel": "part-of", + "href": "#DCH-06" + } + ] + }, + { + "id": "DCH-06.4", + "title": "Making Sensitive Data Unreadable In Storage", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "DCH-06.4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure sensitive/regulated data is rendered human unreadable anywhere sensitive/regulated data is stored." + }, + { + "name": "assessment-objective", + "id": "DCH-06.4_DCH-06.4_A01", + "prose": "the organization only uses current and supported technologies that are capable of implementing secure configurations." + }, + { + "name": "assessment-objective", + "id": "DCH-06.4_DCH-06.4_A02", + "prose": "secure baseline configurations ensure sensitive / regulated data is rendered human unreadable anywhere that data is stored." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dsp-17" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.08.01" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.4" + }, + { + "rel": "part-of", + "href": "#DCH-06" + } + ] + }, + { + "id": "DCH-06.5", + "title": "Storing Authentication Data", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to prohibit the storage of sensitive transaction authentication data after authorization." + }, + { + "name": "assessment-objective", + "id": "DCH-06.5_DCH-06.5_A01", + "prose": "the storage of sensitive authentication data after authorization is prohibited." + }, + { + "name": "assessment-objective", + "id": "DCH-06.5_DCH-06.5_A02", + "prose": "secure baseline configurations ensure authentication data is not stored after authorization." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_3.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_3.3.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_3.3.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_3.3.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_3.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_3.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_3.3.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_3.3.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_3.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_3.3.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_3.3.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_3.3.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_3.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_3.3.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_3.3.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_3.3.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_3.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_3.3.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_3.3.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_3.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_3.3.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_3.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_3.3.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_3.3.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_3.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_3.3.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_3.3.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_3.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-p2pe:_3.3.1.2" + }, + { + "rel": "part-of", + "href": "#DCH-06" + } + ] + }, + { + "id": "DCH-07", + "title": "Media Transportation", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "DCH-07" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to protect and control digital and non-digital media during transport outside of controlled areas using appropriate security measures." + }, + { + "name": "assessment-objective", + "id": "DCH-07_DCH-07_A01", + "prose": "access to media containing sensitive / regulated data is controlled." + }, + { + "name": "assessment-objective", + "id": "DCH-07_DCH-07_A02", + "prose": "accountability for media containing sensitive / regulated data is maintained during transport outside of controlled areas." + }, + { + "name": "assessment-objective", + "id": "DCH-07_DCH-07_A03", + "prose": "types of system media to protect and control during transport outside of controlled areas are defined." + }, + { + "name": "assessment-objective", + "id": "DCH-07_DCH-07_A04", + "prose": "personnel authorized to conduct media transport activities is/are identified." + }, + { + "name": "assessment-objective", + "id": "DCH-07_DCH-07_A05", + "prose": "activities associated with the transport of system media are restricted to identified authorized personnel." + }, + { + "name": "assessment-objective", + "id": "DCH-07_DCH-07_A06", + "prose": "controls used to protect system media outside of controlled areas are defined." + }, + { + "name": "assessment-objective", + "id": "DCH-07_DCH-07_A07", + "prose": "controls used to control system media outside of controlled areas are defined." + }, + { + "name": "assessment-objective", + "id": "DCH-07_DCH-07_A08", + "prose": "system media that contain sensitive / regulated data are protected during transport outside of controlled areas." + }, + { + "name": "assessment-objective", + "id": "DCH-07_DCH-07_A09", + "prose": "system media that contain sensitive / regulated data are controlled during transport outside of controlled areas." + }, + { + "name": "assessment-objective", + "id": "DCH-07_DCH-07_A10", + "prose": "accountability for system media that contain sensitive / regulated data is maintained during transport outside of controlled areas." + }, + { + "name": "assessment-objective", + "id": "DCH-07_DCH-07_A11", + "prose": "activities associated with the transport of system media that contain sensitive / regulated data are documented." + }, + { + "name": "assessment-objective", + "id": "DCH-07_DCH-07_A12", + "prose": "system media that contain CUI are protected during transport outside of controlled areas." + }, + { + "name": "assessment-objective", + "id": "DCH-07_DCH-07_A13", + "prose": "system media that contain CUI are controlled during transport outside of controlled areas." + }, + { + "name": "assessment-objective", + "id": "DCH-07_DCH-07_A14", + "prose": "accountability for system media that contain CUI is maintained during transport outside of controlled areas." + }, + { + "name": "assessment-objective", + "id": "DCH-07_DCH-07_A15", + "prose": "activities associated with the transport of system media that contain CUI are documented." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dcs-05" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.14" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_7.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_8.3.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_13.2.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.14" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.14-a" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_7.10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:mp-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:mp-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:mp-05" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.310-d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:mp-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:mp-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:mp-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:mp-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:mp-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:mp-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.8.5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.08.05.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.08.05.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.8.5-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.8.5-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.08.05.a-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.08.05.a-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.08.05.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.08.05.c" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_9.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_9.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_9.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_9.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_9.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_9.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.4.3" + } + ] + }, + { + "id": "DCH-07.1", + "title": "Custodians", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "DCH-07.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to identify custodians throughout the transport of digital or non-digital media." + }, + { + "name": "assessment-objective", + "id": "DCH-07.1_DCH-07.1_A01", + "prose": "a custodian to transport system media outside of controlled areas is identified." + }, + { + "name": "assessment-objective", + "id": "DCH-07.1_DCH-07.1_A02", + "prose": "the identified custodian is employed during the transport of system media outside of controlled areas." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dcs-05" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.14" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_8.1.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_8.2.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_13.2.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.10" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:mp-5-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:mp-05-03" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.310-d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:mp-05-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.08.05.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.08.05.b" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_9.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_9.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_9.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_9.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_9.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_9.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.4.3" + }, + { + "rel": "part-of", + "href": "#DCH-07" + } + ] + }, + { + "id": "DCH-07.2", + "title": "Encrypting Data In Storage Media", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "DCH-07.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Cryptographic mechanisms exist to protect the confidentiality and integrity of information stored on digital media during transport outside of controlled areas." + }, + { + "name": "assessment-objective", + "id": "DCH-07.2_DCH-07.2_A01", + "prose": "information requiring cryptographic protection is defined." + }, + { + "name": "assessment-objective", + "id": "DCH-07.2_DCH-07.2_A02", + "prose": "system components or media requiring cryptographic protection is/are defined." + }, + { + "name": "assessment-objective", + "id": "DCH-07.2_DCH-07.2_A03", + "prose": "cryptographic mechanisms are implemented to prevent unauthorized disclosure and/or modification of information at rest on organization-defined system components or media." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dcs-05" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_7.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_7.10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:mp-5-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-28-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sc-28-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:sc-28-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-28-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sc-28-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sc-28-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sc-28-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.08.05.a" + }, + { + "rel": "part-of", + "href": "#DCH-07" + } + ] + }, + { + "id": "DCH-08", + "title": "Physical Media Disposal", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "DCH-08" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to securely dispose of media when it is no longer required, using formal procedures." + }, + { + "name": "assessment-objective", + "id": "DCH-08_DCH-08_A01", + "prose": "system media to be sanitized prior to disposal is defined." + }, + { + "name": "assessment-objective", + "id": "DCH-08_DCH-08_A02", + "prose": "system media to be sanitized prior to release from organizational control is defined." + }, + { + "name": "assessment-objective", + "id": "DCH-08_DCH-08_A03", + "prose": "system media to be sanitized prior to release for reuse is defined." + }, + { + "name": "assessment-objective", + "id": "DCH-08_DCH-08_A04", + "prose": "sanitization techniques and procedures to be used for sanitization prior to disposal are defined." + }, + { + "name": "assessment-objective", + "id": "DCH-08_DCH-08_A05", + "prose": "sanitization techniques and procedures to be used for sanitization prior to release from organizational control are defined." + }, + { + "name": "assessment-objective", + "id": "DCH-08_DCH-08_A06", + "prose": "sanitization techniques and procedures to be used for sanitization prior to release for reuse are defined." + }, + { + "name": "assessment-objective", + "id": "DCH-08_DCH-08_A07", + "prose": "system media is sanitized using sanitization techniques and procedures prior to disposal." + }, + { + "name": "assessment-objective", + "id": "DCH-08_DCH-08_A08", + "prose": "system media is sanitized using sanitization techniques and procedures prior to release from organizational control." + }, + { + "name": "assessment-objective", + "id": "DCH-08_DCH-08_A09", + "prose": "system media is sanitized using sanitization techniques and procedures prior to release for reuse." + }, + { + "name": "assessment-objective", + "id": "DCH-08_DCH-08_A10", + "prose": "sanitization mechanisms with strength and integrity commensurate with the security category or classification of the information are employed." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_3.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_3.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_3.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_3.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_3.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_3.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_3.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_3.5" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dcs-02" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:pol-04" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_7.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_8.3.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_7.10" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:mp-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:mp-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:mp-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:mp-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:mp-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:mp-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:mp-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:mp-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:mp-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:mp-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:mp-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:mp-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:mp-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.8.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.08.03" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.4.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_9.4.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_9.4.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_9.4.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_9.4.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_9.4.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_9.4.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.4.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.4.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-p2pe:_9.4.6" + } + ] + }, + { + "id": "DCH-09", + "title": "System Media Sanitization", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "DCH-09" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to sanitize system media with the strength and integrity commensurate with the classification or sensitivity of the information prior to disposal, release out of organizational control or release for reuse." + }, + { + "name": "assessment-objective", + "id": "DCH-09_DCH-09_A01", + "prose": "system media to be sanitized prior to disposal, release and/or reuse is defined." + }, + { + "name": "assessment-objective", + "id": "DCH-09_DCH-09_A02", + "prose": "sanitization techniques and procedures to be used for sanitization prior to disposal, release and/or reuse are defined." + }, + { + "name": "assessment-objective", + "id": "DCH-09_DCH-09_A03", + "prose": "system media is sanitized using sanitization techniques and procedures prior to disposal, release and/or reuse." + }, + { + "name": "assessment-objective", + "id": "DCH-09_DCH-09_A04", + "prose": "sanitization mechanisms with strength and integrity commensurate with the security category or classification of the information are employed." + }, + { + "name": "assessment-objective", + "id": "DCH-09_DCH-09_A05", + "prose": "circumstances requiring sanitization of portable storage devices are defined." + }, + { + "name": "assessment-objective", + "id": "DCH-09_DCH-09_A06", + "prose": "non-destructive sanitization techniques are applied to portable storage devices prior to connecting such devices to the system under circumstances." + }, + { + "name": "assessment-objective", + "id": "DCH-09_DCH-09_A07", + "prose": "equipment containing sensitive / regulated data is sanitized prior to disposal, reuse, or release out of organizational control." + }, + { + "name": "assessment-objective", + "id": "DCH-09_DCH-09_A08", + "prose": "system media that contain CUI are sanitized prior to disposal, release out of organizational control, or release for reuse." + }, + { + "name": "assessment-objective", + "id": "DCH-09_DCH-09_A09", + "prose": "system media containing sensitive/regulated data is sanitized or destroyed before disposal." + }, + { + "name": "assessment-objective", + "id": "DCH-09_DCH-09_A10", + "prose": "system media containing sensitive/regulated data is sanitized before it is released for reuse." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_3.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_3.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_3.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_3.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_3.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_3.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_3.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_3.5" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dcs-02" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:log-08" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-4.2" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-4.2-1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-4.2-2" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.10" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:ct.dm-p5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:mp-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:mp-6-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:mp-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:mp-06-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:mp-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:mp-06-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:mp-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:mp-06-03" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.310-d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:mp-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:mp-06-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:mp-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:mp-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:mp-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:mp-06-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:mp-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:mp-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:mp-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:mp-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:mp-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.7.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.8.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.07.04.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.08.03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.7.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.8.3-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.8.3-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.08.03" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.4.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.4.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.4.7" + } + ] + }, + { + "id": "DCH-09.1", + "title": "System Media Sanitization Documentation", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to supervise, track, document and verify system media sanitization and disposal actions." + }, + { + "name": "assessment-objective", + "id": "DCH-09.1_DCH-09.1_A01", + "prose": "media sanitization and disposal actions are reviewed." + }, + { + "name": "assessment-objective", + "id": "DCH-09.1_DCH-09.1_A02", + "prose": "media sanitization and disposal actions are approved." + }, + { + "name": "assessment-objective", + "id": "DCH-09.1_DCH-09.1_A03", + "prose": "media sanitization and disposal actions are documented." + }, + { + "name": "assessment-objective", + "id": "DCH-09.1_DCH-09.1_A04", + "prose": "media sanitization and disposal actions are tracked." + }, + { + "name": "assessment-objective", + "id": "DCH-09.1_DCH-09.1_A05", + "prose": "media sanitization and disposal actions are verified." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:mp-6-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:mp-06-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:mp-06-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:mp-06-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:mp-06-01" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.4.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.4.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.4.7" + }, + { + "rel": "part-of", + "href": "#DCH-09" + } + ] + }, + { + "id": "DCH-09.2", + "title": "Equipment Testing", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to test sanitization equipment and procedures to verify that the intended result is achieved." + }, + { + "name": "assessment-objective", + "id": "DCH-09.2_DCH-09.2_A01", + "prose": "the frequency with which to test sanitization equipment / procedures is defined." + }, + { + "name": "assessment-objective", + "id": "DCH-09.2_DCH-09.2_A02", + "prose": "sanitization equipment / procedures are tested frequently to ensure that the intended sanitization is achieved." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:mp-6-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:mp-06-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:mp-06-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:mp-06-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:mp-06-02" + }, + { + "rel": "part-of", + "href": "#DCH-09" + } + ] + }, + { + "id": "DCH-09.3", + "title": "Sanitization of Personal Data (PD)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "DCH-09.3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to facilitate the sanitization of Personal Data (PD)." + }, + { + "name": "assessment-objective", + "id": "DCH-09.3_DCH-09.3_A01", + "prose": "system media to be sanitized prior to disposal is defined." + }, + { + "name": "assessment-objective", + "id": "DCH-09.3_DCH-09.3_A02", + "prose": "types of Personal Data (PD) to be sanitized prior to disposal are defined." + }, + { + "name": "assessment-objective", + "id": "DCH-09.3_DCH-09.3_A03", + "prose": "sanitization techniques and procedures to be used for sanitization of Personal Data (PD) are defined." + }, + { + "name": "assessment-objective", + "id": "DCH-09.3_DCH-09.3_A04", + "prose": "sanitization mechanisms with strength and integrity commensurate with the security category or classification of the information are employed for the sanitization of Personal Data." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:mp-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:mp-06-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:mp-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:mp-06-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:mp-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:mp-06-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:mp-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:mp-06-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:mp-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:mp-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:mp-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:mp-06-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:mp-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:mp-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:mp-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:mp-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:mp-6" + }, + { + "rel": "part-of", + "href": "#DCH-09" + } + ] + }, + { + "id": "DCH-09.4", + "title": "First Time Use Sanitization", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to apply nondestructive sanitization techniques to portable storage devices prior to first use." + }, + { + "name": "assessment-objective", + "id": "DCH-09.4_DCH-09.4_A01", + "prose": "circumstances requiring sanitization of portable storage devices are defined." + }, + { + "name": "assessment-objective", + "id": "DCH-09.4_DCH-09.4_A02", + "prose": "non-destructive sanitization techniques are applied to portable storage devices prior to connecting such devices to the system under circumstances." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:mp-6-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:mp-06-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:mp-06-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:mp-06-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:mp-06-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:mp-06-03" + }, + { + "rel": "part-of", + "href": "#DCH-09" + } + ] + }, + { + "id": "DCH-09.5", + "title": "Dual Authorization for Sensitive Data Destruction", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to enforce dual authorization for the destruction, disposal or sanitization of digital media that contains sensitive/regulated data." + }, + { + "name": "assessment-objective", + "id": "DCH-09.5_DCH-09.5_A01", + "prose": "system media to be sanitized using dual authorization is defined." + }, + { + "name": "assessment-objective", + "id": "DCH-09.5_DCH-09.5_A02", + "prose": "dual authorization for sanitization of system media is enforced." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:mp-6-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:mp-06-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:mp-06-07" + }, + { + "rel": "part-of", + "href": "#DCH-09" + } + ] + }, + { + "id": "DCH-10", + "title": "Media Use", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "DCH-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to restrict the use of types of digital media on systems or system components." + }, + { + "name": "assessment-objective", + "id": "DCH-10_DCH-10_A01", + "prose": "the use of removable media on system components is controlled." + }, + { + "name": "assessment-objective", + "id": "DCH-10_DCH-10_A02", + "prose": "organization-defined types of system media are restricted or prohibited." + }, + { + "name": "assessment-objective", + "id": "DCH-10_DCH-10_A03", + "prose": "types of system media with usage restrictions or that are prohibited from use are defined." + }, + { + "name": "assessment-objective", + "id": "DCH-10_DCH-10_A04", + "prose": "systems or system components on which the use of specific types of system media to be restricted or prohibited are defined." + }, + { + "name": "assessment-objective", + "id": "DCH-10_DCH-10_A05", + "prose": "controls to restrict or prohibit the use of specific types of system media on systems or system components are defined." + }, + { + "name": "assessment-objective", + "id": "DCH-10_DCH-10_A06", + "prose": "the use of types of system media is organization-defined criteria on systems or system components using controls." + }, + { + "name": "assessment-objective", + "id": "DCH-10_DCH-10_A07", + "prose": "the use of portable storage devices in organizational systems is prohibited when such devices have no identifiable owner." + }, + { + "name": "assessment-objective", + "id": "DCH-10_DCH-10_A08", + "prose": "the use of the following types of system media is restricted or prohibited: ." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_7.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_8.3.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_7.10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:mp-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-8-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:mp-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-08-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:mp-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sc-08-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:mp-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:mp-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-08-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:mp-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:mp-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:mp-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.8.7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.08.07.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.8.7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.08.07.odp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.08.07.a" + } + ] + }, + { + "id": "DCH-10.1", + "title": "Limitations on Use", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to restrict the use and distribution of sensitive/regulated data." + }, + { + "name": "assessment-objective", + "id": "DCH-10.1_DCH-10.1_A01", + "prose": "the use of sensitive / regulated data is restricted to approved business practices." + }, + { + "name": "assessment-objective", + "id": "DCH-10.1_DCH-10.1_A02", + "prose": "the distribution of sensitive / regulated data is restricted to authorized personnel." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_7.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_7.10" + }, + { + "rel": "part-of", + "href": "#DCH-10" + } + ] + }, + { + "id": "DCH-10.2", + "title": "Prohibit Use Without Owner", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "DCH-10.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to prohibit the use of portable storage devices in organizational systems when such devices have no identifiable owner." + }, + { + "name": "assessment-objective", + "id": "DCH-10.2_DCH-10.2_A01", + "prose": "the use of portable storage devices is prohibited when such devices have no identifiable owner." + }, + { + "name": "assessment-objective", + "id": "DCH-10.2_DCH-10.2_A02", + "prose": "the use of removable system media without an identifiable owner is prohibited." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:mp-7-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:mp-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:mp-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:mp-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:mp-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:mp-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:mp-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:mp-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.8.8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.08.07.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.8.8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.08.07.b" + }, + { + "rel": "part-of", + "href": "#DCH-10" + } + ] + }, + { + "id": "DCH-11", + "title": "Data Reclassification", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to reclassify data, including associated Technology Assets, Applications and/or Services (TAAS), commensurate with the security category and/or classification level of the information." + }, + { + "name": "assessment-objective", + "id": "DCH-11_DCH-11_A01", + "prose": "a system media downgrading process is defined." + }, + { + "name": "assessment-objective", + "id": "DCH-11_DCH-11_A02", + "prose": "system media requiring downgrading is defined." + }, + { + "name": "assessment-objective", + "id": "DCH-11_DCH-11_A03", + "prose": "a system media downgrading process is established." + }, + { + "name": "assessment-objective", + "id": "DCH-11_DCH-11_A04", + "prose": "the system media downgrading process includes employing downgrading mechanisms with strength and integrity commensurate with the security category or classification of the information." + }, + { + "name": "assessment-objective", + "id": "DCH-11_DCH-11_A05", + "prose": "there is verification that the system media downgrading process is commensurate with the security category and/or classification level of the information to be removed." + }, + { + "name": "assessment-objective", + "id": "DCH-11_DCH-11_A06", + "prose": "there is verification that the system media downgrading process is commensurate with the access authorizations of the potential recipients of the downgraded information." + }, + { + "name": "assessment-objective", + "id": "DCH-11_DCH-11_A07", + "prose": "system media requiring downgrading is identified." + }, + { + "name": "assessment-objective", + "id": "DCH-11_DCH-11_A08", + "prose": "the identified system media is downgraded using the system media downgrading process." + }, + { + "name": "assessment-objective", + "id": "DCH-11_DCH-11_A09", + "prose": "system media containing sensitive and/or regulated information is identified." + }, + { + "name": "assessment-objective", + "id": "DCH-11_DCH-11_A10", + "prose": "system media containing sensitive and/or regulated information is downgraded prior to public release." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:mp-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:mp-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:mp-08-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:mp-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:mp-08-03" + } + ] + }, + { + "id": "DCH-12", + "title": "Removable Media Security", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "DCH-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management", + "value": "3.5.3.5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to restrict removable media in accordance with data handling and acceptable usage parameters." + }, + { + "name": "assessment-objective", + "id": "DCH-12_DCH-12_A01", + "prose": "removable media restrictions are in accordance with data handling and acceptable usage requirements." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:comp-1.2" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:comp-2.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_7.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_8.3.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_7.10" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:pr.pt-p1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.08.07.a" + } + ] + }, + { + "id": "DCH-13", + "title": "Use of External Technology Assets, Applications and/or Services (TAAS)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "DCH-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to govern how external parties, including Technology Assets, Applications and/or Services (TAAS), are used to securely store, process and transmit data." + }, + { + "name": "assessment-objective", + "id": "DCH-13_DCH-13_A01", + "prose": "connections to external systems are identified." + }, + { + "name": "assessment-objective", + "id": "DCH-13_DCH-13_A02", + "prose": "the use of external systems is identified." + }, + { + "name": "assessment-objective", + "id": "DCH-13_DCH-13_A03", + "prose": "connections to external systems are verified." + }, + { + "name": "assessment-objective", + "id": "DCH-13_DCH-13_A04", + "prose": "the use of external systems is verified." + }, + { + "name": "assessment-objective", + "id": "DCH-13_DCH-13_A05", + "prose": "connections to external systems are controlled/limited." + }, + { + "name": "assessment-objective", + "id": "DCH-13_DCH-13_A06", + "prose": "the use of external systems is controlled/limited." + }, + { + "name": "assessment-objective", + "id": "DCH-13_DCH-13_A07", + "prose": "terms and conditions consistent with the trust relationships established with other organizations owning, operating, and/or maintaining external systems are defined." + }, + { + "name": "assessment-objective", + "id": "DCH-13_DCH-13_A08", + "prose": "controls asserted to be implemented on external systems consistent with the trust relationships established with other organizations owning, operating, and/or maintaining external systems are defined." + }, + { + "name": "assessment-objective", + "id": "DCH-13_DCH-13_A09", + "prose": "types of external systems prohibited from use are defined." + }, + { + "name": "assessment-objective", + "id": "DCH-13_DCH-13_A10", + "prose": "organization-defined criteria are consistent with the trust relationships established with other organizations owning, operating, and/or maintaining external systems, allowing authorized individuals to access the system from external systems (if applicable)." + }, + { + "name": "assessment-objective", + "id": "DCH-13_DCH-13_A11", + "prose": "organization-defined criteria consistent with the trust relationships established with other organizations owning, operating, and/or maintaining external systems, allowing authorized individuals to process, store or transmit organization-controlled information using external systems (if applicable)." + }, + { + "name": "assessment-objective", + "id": "DCH-13_DCH-13_A12", + "prose": "the use of organization-defined prohibited types of external systems is prohibited (if applicable)." + }, + { + "name": "assessment-objective", + "id": "DCH-13_DCH-13_A13", + "prose": "security requirements to be satisfied on external systems prior to allowing the use of or access to those systems by authorized individuals are defined." + }, + { + "name": "assessment-objective", + "id": "DCH-13_DCH-13_A14", + "prose": "the use of external systems is prohibited unless the systems are specifically authorized." + }, + { + "name": "assessment-objective", + "id": "DCH-13_DCH-13_A15", + "prose": "the following security requirements to be satisfied on external systems prior to allowing the use of or access to those systems by authorized individuals are established: ." + }, + { + "name": "assessment-objective", + "id": "DCH-13_DCH-13_A16", + "prose": "authorized individuals are permitted to use external systems to access the organizational system or to process, store, or transmit CUI only after verifying that the security requirements on the external systems as specified in the organization’s system security plans have been satisfied." + }, + { + "name": "assessment-objective", + "id": "DCH-13_DCH-13_A17", + "prose": "authorized individuals are permitted to use external systems to access the organizational system or to process, store, or transmit CUI only after retaining approved system connection or processing agreements with the organizational entity hosting the external systems." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ac-20" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-20" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ac-20" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-20" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ac-20" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ac-20" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ac-20" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ac-20" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:ac-20" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:ac-20" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:ac-20" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ac-20" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ac-20" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.1.20" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.20.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.20.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.20.c.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.20.c.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.20.d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.20-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.20-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.20-c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.20-d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.20-e" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.20-f" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.20.odp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.20.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.20.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.20.c.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.20.c.02" + } + ] + }, + { + "id": "DCH-13.1", + "title": "Limits of Authorized Use", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "DCH-13.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to prohibit external parties, including Technology Assets, Applications and/or Services (TAAS), from storing, processing and transmitting data unless authorized individuals first: \r\n(1) Verifying the implementation of required security, compliance and/or resilience controls; or\r\n(2) Retaining a processing agreement with the entity hosting the external TAAS." + }, + { + "name": "assessment-objective", + "id": "DCH-13.1_DCH-13.1_A01", + "prose": "authorized individuals are permitted to use an external system to access the system or to process, store or transmit organization-controlled information only after verification of the implementation of controls on the external system as specified in the organization's cybersecurity / data privacy policies and cybersecurity / data privacy plans (if applicable)." + }, + { + "name": "assessment-objective", + "id": "DCH-13.1_DCH-13.1_A02", + "prose": "authorized individuals are permitted to use an external system to access the system or to process, store or transmit organization-controlled information only after retention of approved system connection or processing agreements with the organizational entity hosting the external system (if applicable)." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_3.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_3.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_3.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_3.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ac-20-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-20-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:ac-20-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-20-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ac-20-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ac-20-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ac-20-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ac-20-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ac-20-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.1.20" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.20.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.20.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.20.c.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.20.c.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.20.d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_1.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.5.1" + }, + { + "rel": "part-of", + "href": "#DCH-13" + } + ] + }, + { + "id": "DCH-13.2", + "title": "Portable Storage Devices", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "DCH-13.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to restrict or prohibit the use of portable storage devices by users on external systems." + }, + { + "name": "assessment-objective", + "id": "DCH-13.2_DCH-13.2_A01", + "prose": "the use of portable storage devices containing sensitive / regulated data on external systems is identified and documented." + }, + { + "name": "assessment-objective", + "id": "DCH-13.2_DCH-13.2_A02", + "prose": "limits on the use of portable storage devices containing sensitive / regulated data on external systems are defined." + }, + { + "name": "assessment-objective", + "id": "DCH-13.2_DCH-13.2_A03", + "prose": "the use of portable storage devices containing sensitive / regulated data on external systems is limited as defined." + }, + { + "name": "assessment-objective", + "id": "DCH-13.2_DCH-13.2_A04", + "prose": "restrictions on the use of organization-controlled portable storage devices by authorized individuals on external systems are defined." + }, + { + "name": "assessment-objective", + "id": "DCH-13.2_DCH-13.2_A05", + "prose": "the use of organization-controlled portable storage devices by authorized individuals on external systems is restricted." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss06.06" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:comp-1.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ac-20-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ac-20-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-20-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-20-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:ac-20-02" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.310-d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-20-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-20-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ac-20-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ac-20-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.1.21" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.20.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.20.d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.21-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.21-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.21-c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.20.d" + }, + { + "rel": "part-of", + "href": "#DCH-13" + } + ] + }, + { + "id": "DCH-13.3", + "title": "Protecting Sensitive / Regulated Data on External Technology Assets, Applications and/or S", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "DCH-13.3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure that the requirements for the protection of sensitive/regulated data processed, stored or transmitted on external Technology Assets, Applications and/or Services (TAAS), are implemented in accordance with applicable statutory, regulatory and contractual obligations." + }, + { + "name": "assessment-objective", + "id": "DCH-13.3_DCH-13.3_A01", + "prose": "the frequency at which to review / update the procedures is defined." + }, + { + "name": "assessment-objective", + "id": "DCH-13.3_DCH-13.3_A02", + "prose": "organizational controls ensure that requirements for the protection of sensitive and/or regulated information that is processed, stored or transmitted on external systems are implemented in accordance with applicable laws, executive orders, directives, policies, regulations and standards." + }, + { + "name": "assessment-objective", + "id": "DCH-13.3_DCH-13.3_A03", + "prose": "procedures are established to ensure that requirements for the protection of sensitive and/or regulated information that is processed, stored or transmitted on external systems are implemented in accordance with applicable laws, executive orders, directives, policies, regulations and standards." + }, + { + "name": "assessment-objective", + "id": "DCH-13.3_DCH-13.3_A04", + "prose": "procedures are reviewed / updated frequently" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dsp-17" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pm-17" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pm-17" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pm-17" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pm-17" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pm-17" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pm-17" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pm-17" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:pm-17" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.20.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.20.c.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-4" + }, + { + "rel": "part-of", + "href": "#DCH-13" + } + ] + }, + { + "id": "DCH-13.4", + "title": "Non-Organizationally Owned Technology Assets, Applications and/or Services (TAAS)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "DCH-13.4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to restrict the use of non-organizationally owned Technology Assets, Applications and/or Services (TAAS) to process, store or transmit organizational information." + }, + { + "name": "assessment-objective", + "id": "DCH-13.4_DCH-13.4_A01", + "prose": "restrictions on the use of non-organizationally owned systems or system components to process, store or transmit organizational information are defined." + }, + { + "name": "assessment-objective", + "id": "DCH-13.4_DCH-13.4_A02", + "prose": "the use of non-organizationally owned systems or system components to process, store or transmit organizational information is restricted using organization-defined restrictions." + }, + { + "name": "assessment-objective", + "id": "DCH-13.4_DCH-13.4_A03", + "prose": "information resources that are owned, provisioned or issued by the organization are identified." + }, + { + "name": "assessment-objective", + "id": "DCH-13.4_DCH-13.4_A04", + "prose": "access to systems and system components is restricted to only those information resources that are owned, provisioned or issued by the organization." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ac-20-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-20-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-20-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ac-20-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ac-20-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ac-20-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.20.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.20.c.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.20.d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-1" + }, + { + "rel": "part-of", + "href": "#DCH-13" + } + ] + }, + { + "id": "DCH-14", + "title": "Information Sharing", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "DCH-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to utilize a process to assist users in making information sharing decisions to ensure data is appropriately protected." + }, + { + "name": "assessment-objective", + "id": "DCH-14_DCH-14_A01", + "prose": "information-sharing circumstances where user discretion is required to determine whether access authorizations assigned to a sharing partner match the information’s access and use restrictions are defined." + }, + { + "name": "assessment-objective", + "id": "DCH-14_DCH-14_A02", + "prose": "authorized users are enabled to determine whether access authorizations assigned to a sharing partner match the information’s access and use restrictions for organization-defined information-sharing circumstances." + }, + { + "name": "assessment-objective", + "id": "DCH-14_DCH-14_A03", + "prose": "automated mechanisms or manual processes that assist users in making information-sharing and collaboration decisions are defined." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_3.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_3.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_3.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_3.3" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dsp-10" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-05-09" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.14" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_13.2.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_13.2.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ac-21" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-21" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ac-21" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:ac-21" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-21" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ac-21" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:ac-21" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ac-21" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.20.b" + } + ] + }, + { + "id": "DCH-14.1", + "title": "Information Search & Retrieval", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure Technology Assets, Applications and/or Services (TAAS) implement data search and retrieval functions that properly enforce data protection / sharing restrictions." + }, + { + "name": "assessment-objective", + "id": "DCH-14.1_DCH-14.1_A01", + "prose": "information-sharing restrictions to be enforced by information search and retrieval services are defined." + }, + { + "name": "assessment-objective", + "id": "DCH-14.1_DCH-14.1_A02", + "prose": "information search and retrieval services that enforce organization-defined information-sharing restrictions are implemented." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ac-21-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-21-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-21-02" + }, + { + "rel": "part-of", + "href": "#DCH-14" + } + ] + }, + { + "id": "DCH-14.2", + "title": "Transfer Authorizations", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "DCH-14.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to verify that individuals or Technology Assets, Applications and/or Services (TAAS) transferring data between interconnecting TAAS have the requisite authorizations (e.g., write permissions or privileges) prior to transferring said data." + }, + { + "name": "assessment-objective", + "id": "DCH-14.2_DCH-14.2_A01", + "prose": "individuals or systems transferring data between interconnecting systems have the requisite authorizations (e.g., write permissions or privileges) prior to accepting such data." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_3.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_3.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_3.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_3.3" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dsp-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ca-03-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:ca-03-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ca-03-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ca-03-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.20.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.20.c.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.12.05.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-4" + }, + { + "rel": "part-of", + "href": "#DCH-14" + } + ] + }, + { + "id": "DCH-14.3", + "title": "Data Access Mapping", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "DCH-14.3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to leverage data-specific Access Control Lists (ACL) or Interconnection Security Agreements (ISAs) to generate a logical map of the parties with whom sensitive/regulated data is shared." + }, + { + "name": "assessment-objective", + "id": "DCH-14.3_DCH-14.3_A01", + "prose": "a data-specific Access Control List (ACL) or Data Information Sharing Agreement (DISA) is documented to determine the personnel with whom sensitive / regulated data is shared." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_3.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_3.8" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_3.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_3.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_3.8" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_3.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_3.8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.20.c.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.12.05.a" + }, + { + "rel": "part-of", + "href": "#DCH-14" + } + ] + }, + { + "id": "DCH-15", + "title": "Publicly Accessible Content", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "DCH-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to control publicly-accessible content." + }, + { + "name": "assessment-objective", + "id": "DCH-15_DCH-15_A01", + "prose": "individuals authorized to post or process information on publicly accessible systems are identified." + }, + { + "name": "assessment-objective", + "id": "DCH-15_DCH-15_A02", + "prose": "procedures to ensure sensitive / regulated data is not posted or processed on publicly accessible systems are identified." + }, + { + "name": "assessment-objective", + "id": "DCH-15_DCH-15_A03", + "prose": "the proposed content of information is reviewed prior to posting onto the publicly accessible system to ensure that non-public information is not included." + }, + { + "name": "assessment-objective", + "id": "DCH-15_DCH-15_A04", + "prose": "the content on publicly accessible systems is reviewed for sensitive / regulated data." + }, + { + "name": "assessment-objective", + "id": "DCH-15_DCH-15_A05", + "prose": "mechanisms are in place to remove and address improper posting of sensitive / regulated data." + }, + { + "name": "assessment-objective", + "id": "DCH-15_DCH-15_A06", + "prose": "the frequency at which to review the content on the publicly accessible system for non-public information is defined." + }, + { + "name": "assessment-objective", + "id": "DCH-15_DCH-15_A07", + "prose": "authorized individuals are trained to ensure that publicly accessible information does not contain non-public information." + }, + { + "name": "assessment-objective", + "id": "DCH-15_DCH-15_A08", + "prose": "authorized individuals are trained to ensure that publicly accessible information does not contain CUI." + }, + { + "name": "assessment-objective", + "id": "DCH-15_DCH-15_A09", + "prose": "CUI is removed from publicly accessible systems, if discovered." + }, + { + "name": "assessment-objective", + "id": "DCH-15_DCH-15_A10", + "prose": "content on publicly accessible systems is reviewed to ensure that it does not include CUI." + }, + { + "name": "assessment-objective", + "id": "DCH-15_DCH-15_A11", + "prose": "the content on publicly accessible systems is reviewed for CUI." + }, + { + "name": "assessment-objective", + "id": "DCH-15_DCH-15_A12", + "prose": "a review process is in place prior to posting of any content to publicly accessible systems." + }, + { + "name": "assessment-objective", + "id": "DCH-15_DCH-15_A13", + "prose": "content on publicly accessible systems is reviewed to ensure that it does not include sensitive/regulated data." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ac-22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ac-22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ac-22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ac-22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ac-22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ac-22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:ac-22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ac-22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ac-22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.1.22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.22.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.22.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.22-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.22-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.22-c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.22-d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.22-e" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.22.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.22.b-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.22.b-02" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.4.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.4.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.4.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.4.4" + } + ] + }, + { + "id": "DCH-16", + "title": "Data Mining Protection", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to protect data storage objects against unauthorized data mining and data harvesting techniques." + }, + { + "name": "assessment-objective", + "id": "DCH-16_DCH-16_A01", + "prose": "data mining prevention and detection techniques are defined." + }, + { + "name": "assessment-objective", + "id": "DCH-16_DCH-16_A02", + "prose": "data storage objects to be protected against unauthorized data mining are defined." + }, + { + "name": "assessment-objective", + "id": "DCH-16_DCH-16_A03", + "prose": "mechanisms are employed for organization-defined data storage objects to detect and protect against unauthorized data mining." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ac-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ac-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:ac-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ac-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:ac-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ac-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ac-23" + } + ] + }, + { + "id": "DCH-17", + "title": "Ad-Hoc Transfers", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "DCH-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to secure ad-hoc exchanges of large digital files with internal or external parties." + }, + { + "name": "assessment-objective", + "id": "DCH-17_DCH-17_A01", + "prose": "ad-hoc exchanges of large digital files with internal or external parties are secured according to organization-defined protection criteria." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dsp-10" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.14" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_13.2.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.1.20" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.20.a" + } + ] + }, + { + "id": "DCH-18", + "title": "Media & Data Retention", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "DCH-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to retain media and data in accordance with applicable statutory, regulatory and contractual obligations." + }, + { + "name": "assessment-objective", + "id": "DCH-18_DCH-18_A01", + "prose": "the frequency with which to conduct reviews of persistent organizational storage locations is defined." + }, + { + "name": "assessment-objective", + "id": "DCH-18_DCH-18_A02", + "prose": "persistent organizational storage locations are identified." + }, + { + "name": "assessment-objective", + "id": "DCH-18_DCH-18_A03", + "prose": "reviews of persistent organizational storage locations are conducted per an organization-defined frequency to identify sensitive / regulated data that is no longer needed." + }, + { + "name": "assessment-objective", + "id": "DCH-18_DCH-18_A04", + "prose": "sensitive / regulated data that is no longer needed is removed." + }, + { + "name": "assessment-objective", + "id": "DCH-18_DCH-18_A05", + "prose": "sensitive / regulated data within the system is managed in accordance with applicable laws, Executive Orders, directives, regulations, policies, standards, guidelines, and operational requirements." + }, + { + "name": "assessment-objective", + "id": "DCH-18_DCH-18_A06", + "prose": "sensitive / regulated data within the system is retained in accordance with applicable laws, Executive Orders, directives, regulations, policies, standards, guidelines, and operational requirements." + }, + { + "name": "assessment-objective", + "id": "DCH-18_DCH-18_A07", + "prose": "sensitive / regulated data output from the system is managed in accordance with applicable laws, Executive Orders, directives, regulations, policies, standards, guidelines, and operational requirements." + }, + { + "name": "assessment-objective", + "id": "DCH-18_DCH-18_A08", + "prose": "sensitive / regulated data output from the system is retained in accordance with applicable laws, Executive Orders, directives, regulations, policies, standards, guidelines, and operational requirements." + }, + { + "name": "assessment-objective", + "id": "DCH-18_DCH-18_A09", + "prose": "CUI within the system is managed in accordance with applicable laws, Executive Orders, directives, regulations, policies, standards, guidelines, and operational requirements." + }, + { + "name": "assessment-objective", + "id": "DCH-18_DCH-18_A10", + "prose": "CUI within the system is retained in accordance with applicable laws, Executive Orders, directives, regulations, policies, standards, guidelines, and operational requirements." + }, + { + "name": "assessment-objective", + "id": "DCH-18_DCH-18_A11", + "prose": "CUI output from the system is managed in accordance with applicable laws, Executive Orders, directives, regulations, policies, standards, guidelines, and operational requirements." + }, + { + "name": "assessment-objective", + "id": "DCH-18_DCH-18_A12", + "prose": "CUI output from the system is retained in accordance with applicable laws, Executive Orders, directives, regulations, policies, standards, guidelines, and operational requirements." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_3.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_3.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_3.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_3.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_3.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_3.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_3.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_3.4" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo14.09" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dsp-16" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:data-1.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.33" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_18.1.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.33" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.10" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-1.5-003" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:ct.dm-p3" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:ct.dm-p4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:mp-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:si-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:mp-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:mp-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:si-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:mp-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:si-12" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.316-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:mp-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:mp-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:mp-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:si-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:mp-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:si-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:si-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:si-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:si-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.20.c.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.14.08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.14.08-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.14.08-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.14.08-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.14.08-04" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_3.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.4.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.4.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_3.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_9.4.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_3.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_9.4.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_11.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_9.4.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_9.4.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_9.4.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_10.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_9.4.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_3.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.4.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.4.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_11.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_3.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.4.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.4.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-p2pe:_3.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-p2pe:_9.4.6" + } + ] + }, + { + "id": "DCH-18.1", + "title": "Minimize Sensitive / Regulated Data", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to minimize sensitive/regulated data that is collected, received, processed, stored and/or transmitted throughout the information lifecycle to only those elements necessary to support necessary business processes." + }, + { + "name": "assessment-objective", + "id": "DCH-18.1_DCH-18.1_A01", + "prose": "elements of Personal Data (PD) being processed in the information life cycle are defined." + }, + { + "name": "assessment-objective", + "id": "DCH-18.1_DCH-18.1_A02", + "prose": "Personal Data (PD) being processed in the information life cycle is limited to organization-defined elements of Personal Data (PD)." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iec-tr-60601-4-5-2021:_4.5" + }, + { + "rel": "mapped-to", + "href": "#iso-29100-2024:_6.5" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:ct.dm-p8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-12-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:si-12-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-12-01" + }, + { + "rel": "part-of", + "href": "#DCH-18" + } + ] + }, + { + "id": "DCH-18.2", + "title": "Limit Sensitive / Regulated Data In Testing, Training & Research", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to minimize the use of sensitive/regulated data for research, testing, or training, in accordance with authorized, legitimate business practices." + }, + { + "name": "assessment-objective", + "id": "DCH-18.2_DCH-18.2_A01", + "prose": "the developer of the system or system component is required to minimize the use of Personal Data (PD) in development and test environments." + }, + { + "name": "assessment-objective", + "id": "DCH-18.2_DCH-18.2_A02", + "prose": "techniques used to minimize the use of Personal Data (PD) for research, testing and training are defined." + }, + { + "name": "assessment-objective", + "id": "DCH-18.2_DCH-18.2_A03", + "prose": "organization-defined techniques are used to minimize the use of Personal Data (PD) for research, testing and training." + }, + { + "name": "assessment-objective", + "id": "DCH-18.2_DCH-18.2_A04", + "prose": "processes that implement the privacy principle of minimization are defined." + }, + { + "name": "assessment-objective", + "id": "DCH-18.2_DCH-18.2_A05", + "prose": "the privacy principle of minimization is implemented using organization-defined processes." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pm-25" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-08-33" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-15-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-12-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pm-25" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sa-08-33" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:si-12-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pm-25" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-08-33" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-15-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-12-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pm-25" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pm-25" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pm-25" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pm-25" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:pm-25" + }, + { + "rel": "part-of", + "href": "#DCH-18" + } + ] + }, + { + "id": "DCH-18.3", + "title": "Temporary Files Containing Personal Data (PD)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to perform periodic checks of temporary files for the existence of Personal Data (PD)." + }, + { + "name": "assessment-objective", + "id": "DCH-18.3_DCH-18.3_A01", + "prose": "periodic checks of temporary files for the existence of Personal Data (PD) are performed." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#DCH-18" + } + ] + }, + { + "id": "DCH-19", + "title": "Geographic Location of Data", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "DCH-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to inventory, document and maintain data flows for data that is resident (permanently or temporarily) within a service's geographically distributed applications (physical and virtual), infrastructure, systems components and/or shared with other third-parties." + }, + { + "name": "assessment-objective", + "id": "DCH-19_DCH-19_A01", + "prose": "locations where information processing and data storage is/are to be restricted are defined." + }, + { + "name": "assessment-objective", + "id": "DCH-19_DCH-19_A02", + "prose": "requirements or conditions for restricting the location of information processing, information storage or information services are defined." + }, + { + "name": "assessment-objective", + "id": "DCH-19_DCH-19_A03", + "prose": "based on requirements, information processing, information storage or information services is/are restricted to locations." + }, + { + "name": "assessment-objective", + "id": "DCH-19_DCH-19_A04", + "prose": "the geographic location of information processing and data storage is restricted to facilities located within the legal jurisdictional boundary of the United States." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dsp-19" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:dat-04" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:lgl-08" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:id.im-p7" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:id.im-p8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sa-9-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-09-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-09-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sa-09-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sa-09-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-09-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-09-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sa-9-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sa-9-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.11.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.11.b" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.am-03" + } + ] + }, + { + "id": "DCH-20", + "title": "Archived Data Sets", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to protect archived data in accordance with applicable statutory, regulatory and contractual obligations." + }, + { + "name": "assessment-objective", + "id": "DCH-20_DCH-20_A01", + "prose": "archived data is protected in accordance with applicable statutory, regulatory and contractual obligations." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + } + ] + }, + { + "id": "DCH-21", + "title": "Information Disposal", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "DCH-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to securely dispose of, destroy or erase information." + }, + { + "name": "assessment-objective", + "id": "DCH-21_DCH-21_A01", + "prose": "techniques used to dispose of, destroy and/or erase information following the retention period are defined." + }, + { + "name": "assessment-objective", + "id": "DCH-21_DCH-21_A02", + "prose": "organization-defined techniques are used to dispose of, destroy and/or erase following the retention period." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_3.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_3.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_3.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_3.5" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:pol-04" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:dm-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-12-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:si-12-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-12-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.08.03" + } + ] + }, + { + "id": "DCH-22", + "title": "Data Quality Operations", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to check for Redundant, Obsolete/Outdated, Toxic or Trivial (ROTT) data to ensure the accuracy, relevance, timeliness, impact, completeness and de-identification of information throughout the information lifecycle." + }, + { + "name": "assessment-objective", + "id": "DCH-22_DCH-22_A01", + "prose": "organization-wide policies for Personal Data (PD) quality management are developed and documented." + }, + { + "name": "assessment-objective", + "id": "DCH-22_DCH-22_A02", + "prose": "organization-wide procedures for Personal Data (PD) quality management are developed and documented." + }, + { + "name": "assessment-objective", + "id": "DCH-22_DCH-22_A03", + "prose": "the policies address reviewing the accuracy of Personal Data (PD) across the information life cycle." + }, + { + "name": "assessment-objective", + "id": "DCH-22_DCH-22_A04", + "prose": "the policies address reviewing the relevance of Personal Data (PD) across the information life cycle." + }, + { + "name": "assessment-objective", + "id": "DCH-22_DCH-22_A05", + "prose": "the policies address reviewing the timeliness of Personal Data (PD) across the information life cycle." + }, + { + "name": "assessment-objective", + "id": "DCH-22_DCH-22_A06", + "prose": "the policies address reviewing the completeness of Personal Data (PD) across the information life cycle." + }, + { + "name": "assessment-objective", + "id": "DCH-22_DCH-22_A07", + "prose": "the procedures address reviewing the accuracy of Personal Data (PD) across the information life cycle." + }, + { + "name": "assessment-objective", + "id": "DCH-22_DCH-22_A08", + "prose": "the procedures address reviewing the relevance of Personal Data (PD) across the information life cycle." + }, + { + "name": "assessment-objective", + "id": "DCH-22_DCH-22_A09", + "prose": "the procedures address reviewing the timeliness of Personal Data (PD) across the information life cycle." + }, + { + "name": "assessment-objective", + "id": "DCH-22_DCH-22_A10", + "prose": "the procedures address reviewing the completeness of Personal Data (PD) across the information life cycle." + }, + { + "name": "assessment-objective", + "id": "DCH-22_DCH-22_A11", + "prose": "the policies address correcting or deleting inaccurate or outdated Personal Data (PD)." + }, + { + "name": "assessment-objective", + "id": "DCH-22_DCH-22_A12", + "prose": "the procedures address correcting or deleting inaccurate or outdated Personal Data (PD)." + }, + { + "name": "assessment-objective", + "id": "DCH-22_DCH-22_A13", + "prose": "the policies address disseminating notice of corrected or deleted Personal Data (PD) to individuals or other appropriate entities." + }, + { + "name": "assessment-objective", + "id": "DCH-22_DCH-22_A14", + "prose": "the procedures address disseminating notice of corrected or deleted Personal Data (PD) to individuals or other appropriate entities." + }, + { + "name": "assessment-objective", + "id": "DCH-22_DCH-22_A15", + "prose": "the policies address appeals of adverse decisions on correction or deletion requests." + }, + { + "name": "assessment-objective", + "id": "DCH-22_DCH-22_A16", + "prose": "the procedures address appeals of adverse decisions on correction or deletion requests." + }, + { + "name": "assessment-objective", + "id": "DCH-22_DCH-22_A17", + "prose": "the frequency at which to check the accuracy of Personal Data (PD) across the information life cycle is defined." + }, + { + "name": "assessment-objective", + "id": "DCH-22_DCH-22_A18", + "prose": "the frequency at which to check the relevance of Personal Data (PD) across the information life cycle is defined." + }, + { + "name": "assessment-objective", + "id": "DCH-22_DCH-22_A19", + "prose": "the frequency at which to check the timeliness of Personal Data (PD) across the information life cycle is defined." + }, + { + "name": "assessment-objective", + "id": "DCH-22_DCH-22_A20", + "prose": "the frequency at which to check the completeness of Personal Data (PD) across the information life cycle is defined." + }, + { + "name": "assessment-objective", + "id": "DCH-22_DCH-22_A21", + "prose": "the accuracy of Personal Data (PD) across the information life cycle is checked frequency." + }, + { + "name": "assessment-objective", + "id": "DCH-22_DCH-22_A22", + "prose": "the relevance of Personal Data (PD) across the information life cycle is checked frequency." + }, + { + "name": "assessment-objective", + "id": "DCH-22_DCH-22_A23", + "prose": "the timeliness of Personal Data (PD) across the information life cycle is checked frequency." + }, + { + "name": "assessment-objective", + "id": "DCH-22_DCH-22_A24", + "prose": "the completeness of Personal Data (PD) across the information life cycle is checked frequency." + }, + { + "name": "assessment-objective", + "id": "DCH-22_DCH-22_A25", + "prose": "inaccurate or outdated Personal Data (PD) is corrected or deleted." + }, + { + "name": "assessment-objective", + "id": "DCH-22_DCH-22_A26", + "prose": "automated mechanisms used to correct or delete Personal Data (PD) that is inaccurate, outdated, incorrectly determined regarding impact or incorrectly de-identified are defined." + }, + { + "name": "assessment-objective", + "id": "DCH-22_DCH-22_A27", + "prose": "automated mechanisms are used to correct or delete Personal Data (PD) that is inaccurate, outdated, incorrectly determined regarding impact or incorrectly de-identified." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo11.01" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo11.02" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo11.03" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo11.04" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo11.05" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo14.06" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo14.07" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai08.04" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_13" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.7" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.7.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.7.3" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.7.4" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.7.5" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.7.6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-37-r2:task-p-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:di-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pm-22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-18-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pm-22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:si-18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pm-22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-18-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pm-22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pm-22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pm-22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pm-22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:pm-22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:pm-22" + } + ] + }, + { + "id": "DCH-22.1", + "title": "Updating & Correcting Personal Data (PD)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to utilize technical controls to correct Personal Data (PD) that is inaccurate or outdated, incorrectly determined regarding impact, or incorrectly de-identified." + }, + { + "name": "assessment-objective", + "id": "DCH-22.1_DCH-22.1_A01", + "prose": "Personal Data (PD) is corrected, or deleted, upon request by individuals or their designated representatives." + }, + { + "name": "assessment-objective", + "id": "DCH-22.1_DCH-22.1_A02", + "prose": "recipients and individuals are notified when their Personal Data (PD) has been corrected or deleted." + }, + { + "name": "assessment-objective", + "id": "DCH-22.1_DCH-22.1_A03", + "prose": "recipients of Personal Data (PD) to be notified when their PD has been corrected or deleted are defined." + }, + { + "name": "assessment-objective", + "id": "DCH-22.1_DCH-22.1_A04", + "prose": "automated mechanisms used to correct or delete Personal Data (PD) that is inaccurate, outdated, incorrectly determined regarding impact or incorrectly de-identified are defined." + }, + { + "name": "assessment-objective", + "id": "DCH-22.1_DCH-22.1_A05", + "prose": "automated mechanisms are used to correct or delete Personal Data (PD) that is inaccurate, outdated, incorrectly determined regarding impact or incorrectly de-identified." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo14.07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ip-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-18-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-18-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:si-18-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:si-18-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-18-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-18-05" + }, + { + "rel": "part-of", + "href": "#DCH-22" + } + ] + }, + { + "id": "DCH-22.2", + "title": "Data Tags", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "DCH-22.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to utilize data tags to automate tracking of sensitive/regulated data across the information lifecycle." + }, + { + "name": "assessment-objective", + "id": "DCH-22.2_DCH-22.2_A01", + "prose": "data tags are employed to automate the correction or deletion of Personal Data (PD) across the information life cycle within organizational systems." + }, + { + "name": "assessment-objective", + "id": "DCH-22.2_DCH-22.2_A02", + "prose": "the authorized processing of Personal Data (PD) is defined." + }, + { + "name": "assessment-objective", + "id": "DCH-22.2_DCH-22.2_A03", + "prose": "elements of Personal Data (PD) to be tagged are defined." + }, + { + "name": "assessment-objective", + "id": "DCH-22.2_DCH-22.2_A04", + "prose": "data tags containing authorized processing are attached to elements of Personal Data (PD)." + }, + { + "name": "assessment-objective", + "id": "DCH-22.2_DCH-22.2_A05", + "prose": "processing purposes to be contained in data tags are defined." + }, + { + "name": "assessment-objective", + "id": "DCH-22.2_DCH-22.2_A06", + "prose": "data tags containing processing purposes are attached to elements of Personal Data (PD)." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pt-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pt-03-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-18-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pt-03-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pt-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pt-03-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-18-02" + }, + { + "rel": "part-of", + "href": "#DCH-22" + } + ] + }, + { + "id": "DCH-22.3", + "title": "Primary Source Personal Data (PD) Collection", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to collect Personal Data (PD) directly from the individual." + }, + { + "name": "assessment-objective", + "id": "DCH-22.3_DCH-22.3_A01", + "prose": "Personal Data (PD) is collected directly from the individual." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#iso-29100-2024:_6.7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-18-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-19-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:si-19-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-18-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-19-01" + }, + { + "rel": "part-of", + "href": "#DCH-22" + } + ] + }, + { + "id": "DCH-23", + "title": "De-Identification (Anonymization)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to anonymize data by removing Personal Data (PD) from datasets." + }, + { + "name": "assessment-objective", + "id": "DCH-23_DCH-23_A01", + "prose": "elements of Personal Data (PD) to be removed from datasets are defined." + }, + { + "name": "assessment-objective", + "id": "DCH-23_DCH-23_A02", + "prose": "the frequency at which to evaluate the effectiveness of de-identification is defined." + }, + { + "name": "assessment-objective", + "id": "DCH-23_DCH-23_A03", + "prose": "elements are removed from datasets." + }, + { + "name": "assessment-objective", + "id": "DCH-23_DCH-23_A04", + "prose": "the effectiveness of de-identification is evaluated frequency." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:gvn-05" + }, + { + "rel": "mapped-to", + "href": "#iec-tr-60601-4-5-2021:_5.2-cr-4.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.33" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.33" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-2.2-002" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-2.2-004" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:ct.dp-p2" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:ct.dp-p3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:dm-1-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:dm-3-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-19" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:si-19" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-19" + } + ] + }, + { + "id": "DCH-23.1", + "title": "De-Identify Dataset Upon Collection", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to de-identify the dataset upon collection by not collecting Personal Data (PD)." + }, + { + "name": "assessment-objective", + "id": "DCH-23.1_DCH-23.1_A01", + "prose": "the dataset is de-identified upon collection by not collecting Personal Data (PD)." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-19-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:si-19-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-19-01" + }, + { + "rel": "part-of", + "href": "#DCH-23" + } + ] + }, + { + "id": "DCH-23.2", + "title": "Archiving", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to refrain from archiving Personal Data (PD) elements if those elements in a dataset will not be needed after the dataset is archived." + }, + { + "name": "assessment-objective", + "id": "DCH-23.2_DCH-23.2_A01", + "prose": "the archiving of Personal Data (PD) elements is prohibited if those elements in a dataset will not be needed after the dataset is archived." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-19-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-19-02" + }, + { + "rel": "part-of", + "href": "#DCH-23" + } + ] + }, + { + "id": "DCH-23.3", + "title": "Release", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to remove Personal Data (PD) elements from a dataset prior to its release if those elements in the dataset do not need to be part of the data release." + }, + { + "name": "assessment-objective", + "id": "DCH-23.3_DCH-23.3_A01", + "prose": "Personal Data (PD) elements are removed from a dataset prior to its release if those elements in the dataset do not need to be part of the data release." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-19-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-19-03" + }, + { + "rel": "part-of", + "href": "#DCH-23" + } + ] + }, + { + "id": "DCH-23.4", + "title": "Removal, Masking, Encryption, Hashing or Replacement of Direct Identifiers", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to remove, mask, encrypt, hash or replace direct identifiers in a dataset." + }, + { + "name": "assessment-objective", + "id": "DCH-23.4_DCH-23.4_A01", + "prose": "direct identifiers in a dataset are removed, masked, encrypted, hashed or replaced." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.11" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-19-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:si-19-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-19-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:si-19-04" + }, + { + "rel": "part-of", + "href": "#DCH-23" + } + ] + }, + { + "id": "DCH-23.5", + "title": "Statistical Disclosure Control", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to manipulate numerical data, contingency tables and statistical findings so that no person or organization is identifiable in the results of the analysis." + }, + { + "name": "assessment-objective", + "id": "DCH-23.5_DCH-23.5_A01", + "prose": "numerical data is manipulated so that no individual or organization is identifiable in the results of the analysis." + }, + { + "name": "assessment-objective", + "id": "DCH-23.5_DCH-23.5_A02", + "prose": "contingency tables are manipulated so that no individual or organization is identifiable in the results of the analysis." + }, + { + "name": "assessment-objective", + "id": "DCH-23.5_DCH-23.5_A03", + "prose": "statistical findings are manipulated so that no individual or organization is identifiable in the results of the analysis." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-19-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-19-05" + }, + { + "rel": "part-of", + "href": "#DCH-23" + } + ] + }, + { + "id": "DCH-23.6", + "title": "Differential Data Privacy", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to prevent disclosure of Personal Data (PD) by adding non-deterministic noise to the results of mathematical operations before the results are reported." + }, + { + "name": "assessment-objective", + "id": "DCH-23.6_DCH-23.6_A01", + "prose": "the disclosure of Personal Data (PD) is prevented by adding non-deterministic noise to the results of mathematical operations before the results are reported." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-19-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-19-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:si-19-06" + }, + { + "rel": "part-of", + "href": "#DCH-23" + } + ] + }, + { + "id": "DCH-23.7", + "title": "Automated De-Identification of Sensitive Data", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to perform de-identification of sensitive/regulated data, using validated algorithms and software to implement the algorithms." + }, + { + "name": "assessment-objective", + "id": "DCH-23.7_DCH-23.7_A01", + "prose": "de-identification is performed using validated algorithms." + }, + { + "name": "assessment-objective", + "id": "DCH-23.7_DCH-23.7_A02", + "prose": "de-identification is performed using software that is validated to implement the algorithms." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-19-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-19-07" + }, + { + "rel": "part-of", + "href": "#DCH-23" + } + ] + }, + { + "id": "DCH-23.8", + "title": "Motivated Intruder", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to perform a motivated intruder test on the de-identified dataset to determine if the identified data remains or if the de-identified data can be re-identified." + }, + { + "name": "assessment-objective", + "id": "DCH-23.8_DCH-23.8_A01", + "prose": "a motivated intruder test is performed on the de-identified dataset to determine if the identified data remains or if the de-identified data can be re-identified." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-19-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-19-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:si-19-08" + }, + { + "rel": "part-of", + "href": "#DCH-23" + } + ] + }, + { + "id": "DCH-23.9", + "title": "Code Names", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to use aliases to name assets, which are mission-critical and/or contain highly-sensitive/regulated data, are unique and not readily associated with a product, project or type of data." + }, + { + "name": "assessment-objective", + "id": "DCH-23.9_DCH-23.9_A01", + "prose": "aliases used to name assets that are mission-critical and/or contain highly-sensitive / regulated data that are unique and not readily associated with a product, project or type of data." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#DCH-23" + } + ] + }, + { + "id": "DCH-24", + "title": "Information Location", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to identify and document the location of information and the specific system components on which the information resides." + }, + { + "name": "assessment-objective", + "id": "DCH-24_DCH-24_A01", + "prose": "information for which the location is to be identified and documented is defined." + }, + { + "name": "assessment-objective", + "id": "DCH-24_DCH-24_A02", + "prose": "the location of sensitive / regulated data is identified and documented." + }, + { + "name": "assessment-objective", + "id": "DCH-24_DCH-24_A03", + "prose": "the specific system components on which organization-defined information is processed are identified and documented." + }, + { + "name": "assessment-objective", + "id": "DCH-24_DCH-24_A04", + "prose": "the specific system components on which organization-defined information is stored are identified and documented." + }, + { + "name": "assessment-objective", + "id": "DCH-24_DCH-24_A05", + "prose": "changes to the location (e.g., system or system components) where organization-defined information is processed are documented." + }, + { + "name": "assessment-objective", + "id": "DCH-24_DCH-24_A06", + "prose": "changes to the location (e.g., system or system components) where organization-defined information is stored are documented." + }, + { + "name": "assessment-objective", + "id": "DCH-24_DCH-24_A07", + "prose": "the users who have access to the system and system components where organization-defined information is processed are identified and documented." + }, + { + "name": "assessment-objective", + "id": "DCH-24_DCH-24_A08", + "prose": "the users who have access to the system and system components where organization-defined information is stored are identified and documented." + }, + { + "name": "assessment-objective", + "id": "DCH-24_DCH-24_A09", + "prose": "the location of CUI is identified and documented." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cm-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:cm-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cm-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:cm-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cm-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:cm-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:cm-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:cm-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.04.11.a-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-1" + } + ] + }, + { + "id": "DCH-24.1", + "title": "Automated Tools to Support Information Location", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to identify by data classification type to ensure adequate security, compliance and resilience controls are in place to protect organizational information and individual data protection." + }, + { + "name": "assessment-objective", + "id": "DCH-24.1_DCH-24.1_A01", + "prose": "information to be protected is defined by information type." + }, + { + "name": "assessment-objective", + "id": "DCH-24.1_DCH-24.1_A02", + "prose": "system components where the information is located are defined." + }, + { + "name": "assessment-objective", + "id": "DCH-24.1_DCH-24.1_A03", + "prose": "automated tools are used to identify information by information type on system components to ensure that controls are in place to protect organizational information and individual privacy." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cm-12-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:cm-12-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cm-12-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:cm-12-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cm-12-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:cm-12-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:cm-12-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:cm-12-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-7" + }, + { + "rel": "part-of", + "href": "#DCH-24" + } + ] + }, + { + "id": "DCH-25", + "title": "Transfer of Sensitive and/or Regulated Data", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to restrict and govern the transfer of sensitive and/or regulated data to third-countries or international organizations." + }, + { + "name": "assessment-objective", + "id": "DCH-25_DCH-25_A01", + "prose": "the statutory, regulatory and/or contractual basis restricts the transfer of sensitive and/or regulated data to third-countries or international organizations is identified." + }, + { + "name": "assessment-objective", + "id": "DCH-25_DCH-25_A02", + "prose": "mechanisms to restrict the transfer of sensitive and/or regulated data to third-countries or international organizations are defined." + }, + { + "name": "assessment-objective", + "id": "DCH-25_DCH-25_A03", + "prose": "mechanisms to restrict the transfer of sensitive and/or regulated data to third-countries or international organizations are implemented." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dcs-03" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:lgl-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-4" + } + ] + }, + { + "id": "DCH-25.1", + "title": "Transfer Activity Limits", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to establish organization-defined \"normal business activities\" to identify anomalous transaction activities that can reduce the opportunity for sending (outbound) and/or receiving (inbound) fraudulent actions." + }, + { + "name": "assessment-objective", + "id": "DCH-25.1_DCH-25.1_A01", + "prose": "organization-specific \"normal business activities\" are defined." + }, + { + "name": "assessment-objective", + "id": "DCH-25.1_DCH-25.1_A02", + "prose": "mechanisms are implemented to identify anomalous transaction activities that can reduce the opportunity for sending (outbound) and/or receiving (inbound) fraudulent actions." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-4" + }, + { + "rel": "part-of", + "href": "#DCH-25" + } + ] + }, + { + "id": "DCH-26", + "title": "Data Localization", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to constrain the impact of \"digital sovereignty laws,\" that require localized data within the host country, where data and processes may be subjected to arbitrary enforcement actions that potentially violate other applicable statutory, regulatory and/or contractual obligations." + }, + { + "name": "assessment-objective", + "id": "DCH-26_DCH-26_A01", + "prose": "executive leadership, along with legal counsel, formally identifies primary risks associated with compliance (e.g., loss of confidentiality and/or integrity considerations with data governance)." + }, + { + "name": "assessment-objective", + "id": "DCH-26_DCH-26_A02", + "prose": "executive leadership, along with legal counsel, formally identifies secondary risks associated with compliance (e.g., non-compliance with other laws, regulations and contractual agreements)." + }, + { + "name": "assessment-objective", + "id": "DCH-26_DCH-26_A03", + "prose": "executive leadership, along with legal counsel, formally identifies tertiary risks associated with compliance (e.g., human rights abuses, theft of intellectual property, espionage, etc.)." + }, + { + "name": "assessment-objective", + "id": "DCH-26_DCH-26_A04", + "prose": "data localization is designed with defense-in-depth architecture to prevent host nations (where data is localized) from accessing other organizational assets not in the same geographic location as the host nation." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + } + ] + }, + { + "id": "DCH-27", + "title": "Data Rights Management (DRM)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to utilize Data Rights Management (DRM), or similar technologies, to protect Intellectual Property (IP) rights by preventing the unauthorized distribution and/or modification of sensitive IP." + }, + { + "name": "assessment-objective", + "id": "DCH-27_DCH-27_A01", + "prose": "Data Rights Management (DRM), or similar technologies, are implemented." + }, + { + "name": "assessment-objective", + "id": "DCH-27_DCH-27_A02", + "prose": "Data Rights Management (DRM), or similar technologies, are configured to protect Intellectual Property (IP) rights by preventing the unauthorized distribution and/or modification of sensitive IP." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + } + ] + } + ] + }, + { + "id": "endpoint-security", + "title": "Endpoint Security", + "controls": [ + { + "id": "END-01", + "title": "Endpoint Device Management (EDM)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "END-01" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management", + "value": "3.5.3.4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.33", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.34", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.35", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.36", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.37", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.38", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.39", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to facilitate the implementation of Endpoint Device Management (EDM) controls." + }, + { + "name": "assessment-objective", + "id": "END-01_END-01_A01", + "prose": "security configuration settings for information technology products employed in the system are established and included in the baseline configuration." + }, + { + "name": "assessment-objective", + "id": "END-01_END-01_A02", + "prose": "a current baseline configuration for systems, applications and services is developed and documented." + }, + { + "name": "assessment-objective", + "id": "END-01_END-01_A03", + "prose": "the baseline configuration includes hardware, software, firmware and documentation." + }, + { + "name": "assessment-objective", + "id": "END-01_END-01_A04", + "prose": "the baseline configuration is maintained (reviewed / updated) throughout the system development life cycle under configuration control." + }, + { + "name": "assessment-objective", + "id": "END-01_END-01_A05", + "prose": "security configuration settings for information technology products employed in the system are enforced." + }, + { + "name": "assessment-objective", + "id": "END-01_END-01_A06", + "prose": "configuration settings that reflect the most restrictive mode consistent with operational requirements are established and documented for components employed within the system using organization-defined common secure configurations." + }, + { + "name": "assessment-objective", + "id": "END-01_END-01_A07", + "prose": "a control baseline for the system is selected." + }, + { + "name": "assessment-objective", + "id": "END-01_END-01_A08", + "prose": "thresholds to which attack surfaces are to be reduced are defined." + }, + { + "name": "assessment-objective", + "id": "END-01_END-01_A09", + "prose": "the developer of the system, system component or system service is required to reduce attack surfaces to organization-defined thresholds." + }, + { + "name": "assessment-objective", + "id": "END-01_END-01_A10", + "prose": "approved authorizations are enforced for controlling the flow of CUI within the system." + }, + { + "name": "assessment-objective", + "id": "END-01_END-01_A11", + "prose": "endpoint security management operations are conducted according to documented policies, standards, procedures and/or other organizational directives." + }, + { + "name": "assessment-objective", + "id": "END-01_END-01_A12", + "prose": "adequate resources (e.g., people, processes, technologies, data and/or facilities) are provided to support endpoint security management operations." + }, + { + "name": "assessment-objective", + "id": "END-01_END-01_A13", + "prose": "responsibility and authority for the performance of endpoint security management-related activities are assigned to designated personnel." + }, + { + "name": "assessment-objective", + "id": "END-01_END-01_A14", + "prose": "personnel performing endpoint security management-related activities have the skills and knowledge needed to perform their assigned duties." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_10.0" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss05.03" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss05.07" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:tvm-02" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:uem-01" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:uem-05" + }, + { + "rel": "mapped-to", + "href": "#iec-tr-60601-4-5-2021:_4.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_7.7" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.5" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_9.4.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_11.2.9" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_7.7" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:mp-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:mp-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:mp-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:mp-02" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.310-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:mp-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:mp-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:mp-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:mp-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.14.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.14.02.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.4.1-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.4.1-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.4.1-c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.4.2-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.4.2-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.03-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-4" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:de.cm-09" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_1.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.5.1" + } + ] + }, + { + "id": "END-01.1", + "title": "Unified Endpoint Device Management (UEDM)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.33", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.34", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.35", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.36", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.37", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.38", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.39", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to utilize a centralized Unified Endpoint Device Management (UEDM) solution that provides agent and/or agentless management of endpoint devices regardless of device location." + }, + { + "name": "assessment-objective", + "id": "END-01.1_END-01.1_A01", + "prose": "a centralized Unified Endpoint Device Management (UEDM) solution is used to provide agent and/or agentless management of endpoint devices, regardless of device location." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:uem-05" + }, + { + "rel": "part-of", + "href": "#END-01" + } + ] + }, + { + "id": "END-02", + "title": "Endpoint Protection Measures", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to protect the confidentiality, integrity, availability and safety of endpoint devices." + }, + { + "name": "assessment-objective", + "id": "END-02_END-02_A01", + "prose": "the confidentiality and integrity of sensitive / regulated data at rest is protected." + }, + { + "name": "assessment-objective", + "id": "END-02_END-02_A02", + "prose": "information at rest requiring protection is defined." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_10.0" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_10.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_10.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_10.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_11.0" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_10.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_10.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_10.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_10.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_10.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_10.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_10.5" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss05.03" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.5" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_9.4.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-28" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-28" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sc-28" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:sc-28" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.310-c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-28" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sc-28" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sc-28" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sc-28" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:sc-28" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sc-28" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sc-28" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.13.16" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.13.16" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_1.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.5.1" + } + ] + }, + { + "id": "END-03", + "title": "Prohibit Installation Without Privileged Status", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "END-03" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to prohibit software installations without explicitly assigned privileged status." + }, + { + "name": "assessment-objective", + "id": "END-03_END-03_A01", + "prose": "policies governing the installation of software by users are established." + }, + { + "name": "assessment-objective", + "id": "END-03_END-03_A02", + "prose": "user installation of software is allowed only with explicit privileged status." + }, + { + "name": "assessment-objective", + "id": "END-03_END-03_A03", + "prose": "methods used to enforce software installation policies are defined." + }, + { + "name": "assessment-objective", + "id": "END-03_END-03_A04", + "prose": "the frequency with which to monitor compliance is defined." + }, + { + "name": "assessment-objective", + "id": "END-03_END-03_A05", + "prose": "software installation policies are enforced through methods." + }, + { + "name": "assessment-objective", + "id": "END-03_END-03_A06", + "prose": "compliance with policies is monitored frequency." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.19" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_12.5.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_12.6.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.19" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cm-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cm-11-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cm-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cm-11-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:cm-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:cm-11-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:cm-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cm-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cm-11-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:cm-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:cm-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:cm-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:cm-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.4.9" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ps-05" + } + ] + }, + { + "id": "END-03.1", + "title": "Software Installation Alerts", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to generate an alert when new software is detected." + }, + { + "name": "assessment-objective", + "id": "END-03.1_END-03.1_A01", + "prose": "compliance with software installation policies is monitored using organization-defined automated mechanisms." + }, + { + "name": "assessment-objective", + "id": "END-03.1_END-03.1_A02", + "prose": "automated mechanisms used to detect the presence of unauthorized hardware, software and/or firmware within the system are defined." + }, + { + "name": "assessment-objective", + "id": "END-03.1_END-03.1_A03", + "prose": "the presence of unauthorized hardware, software and/or firmware within the system is detected using automated mechanisms frequency." + }, + { + "name": "assessment-objective", + "id": "END-03.1_END-03.1_A04", + "prose": "the frequency at which automated mechanisms are used to detect the presence of unauthorized hardware, software and/or firmware within the system is defined." + }, + { + "name": "assessment-objective", + "id": "END-03.1_END-03.1_A05", + "prose": "automated mechanisms disable network access by unauthorized components, isolate unauthorized components and/or notify organization-defined personnel or roles." + }, + { + "name": "assessment-objective", + "id": "END-03.1_END-03.1_A06", + "prose": "personnel or roles to be notified when unauthorized components are detected is/are defined." + }, + { + "name": "assessment-objective", + "id": "END-03.1_END-03.1_A07", + "prose": "organization-defined actions are taken when unauthorized hardware, software and/or firmware is detected." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_2.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_2.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_2.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_2.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cm-11-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cm-08-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cm-11-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:cm-08-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:cm-11-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:cm-08-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cm-08-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cm-11-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:cm-08-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cm-08-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:cm-08-03" + }, + { + "rel": "part-of", + "href": "#END-03" + } + ] + }, + { + "id": "END-03.2", + "title": "Governing Access Restriction for Change", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "END-03.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to define, document, approve and enforce access restrictions associated with changes to Technology Assets, Applications and/or Services (TAAS)." + }, + { + "name": "assessment-objective", + "id": "END-03.2_END-03.2_A01", + "prose": "physical access restrictions associated with changes to the system are defined and documented." + }, + { + "name": "assessment-objective", + "id": "END-03.2_END-03.2_A02", + "prose": "physical access restrictions associated with changes to the system are approved." + }, + { + "name": "assessment-objective", + "id": "END-03.2_END-03.2_A03", + "prose": "physical access restrictions associated with changes to the system are enforced." + }, + { + "name": "assessment-objective", + "id": "END-03.2_END-03.2_A04", + "prose": "logical access restrictions associated with changes to the system are defined and documented." + }, + { + "name": "assessment-objective", + "id": "END-03.2_END-03.2_A05", + "prose": "logical access restrictions associated with changes to the system are approved." + }, + { + "name": "assessment-objective", + "id": "END-03.2_END-03.2_A06", + "prose": "logical access restrictions associated with changes to the system are enforced." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.19" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_12.5.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.19" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cm-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cm-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:cm-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:cm-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cm-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:cm-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:cm-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cm-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:cm-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:cm-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:cm-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:cm-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.4.5-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.4.5-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.4.5-c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.4.5-d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.4.5-e" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.4.5-f" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.4.5-g" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.4.5-h" + }, + { + "rel": "part-of", + "href": "#END-03" + } + ] + }, + { + "id": "END-04", + "title": "Malicious Code Protection (Anti-Malware)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "END-04" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to utilize antimalware technologies to detect and eradicate malicious code." + }, + { + "name": "assessment-objective", + "id": "END-04_END-04_A01", + "prose": "the frequency for malicious code scans is defined." + }, + { + "name": "assessment-objective", + "id": "END-04_END-04_A02", + "prose": "malicious code scans are performed with the defined frequency." + }, + { + "name": "assessment-objective", + "id": "END-04_END-04_A03", + "prose": "malicious code protection mechanisms are configured to perform real-time scans of files from external sources as the files are downloaded, opened or executed." + }, + { + "name": "assessment-objective", + "id": "END-04_END-04_A04", + "prose": "designated locations for malicious code protection are identified." + }, + { + "name": "assessment-objective", + "id": "END-04_END-04_A05", + "prose": "protection from malicious code at designated locations is provided." + }, + { + "name": "assessment-objective", + "id": "END-04_END-04_A06", + "prose": "action to be taken in response to malicious code detection are defined." + }, + { + "name": "assessment-objective", + "id": "END-04_END-04_A07", + "prose": "personnel or roles to be alerted when malicious code is detected is/are defined." + }, + { + "name": "assessment-objective", + "id": "END-04_END-04_A08", + "prose": "malicious code protection mechanisms are implemented at system entry and exit points to detect malicious code." + }, + { + "name": "assessment-objective", + "id": "END-04_END-04_A09", + "prose": "malicious code protection mechanisms are implemented at system entry and exit points to eradicate malicious code." + }, + { + "name": "assessment-objective", + "id": "END-04_END-04_A10", + "prose": "malicious code protection mechanisms are updated automatically as new releases are available in accordance with organizational configuration management policy and procedures." + }, + { + "name": "assessment-objective", + "id": "END-04_END-04_A11", + "prose": "malicious code protection mechanisms are configured to perform periodic scans of the system frequency." + }, + { + "name": "assessment-objective", + "id": "END-04_END-04_A12", + "prose": "malicious code protection mechanisms are configured to perform real-time scans of files from external sources as the files are downloaded, opened or executed in accordance with organizational policy." + }, + { + "name": "assessment-objective", + "id": "END-04_END-04_A13", + "prose": "malicious code protection mechanisms are configured to respond to malicious code detection." + }, + { + "name": "assessment-objective", + "id": "END-04_END-04_A14", + "prose": "malicious code protection mechanisms are configured to send alerts to personnel or roles in response to malicious code detection." + }, + { + "name": "assessment-objective", + "id": "END-04_END-04_A15", + "prose": "the receipt of false positives during malicious code detection and eradication and the resulting potential impact on the availability of the system are addressed." + }, + { + "name": "assessment-objective", + "id": "END-04_END-04_A16", + "prose": "malicious code protection mechanisms are implemented at system entry and exit points to eradicate malicious code." + }, + { + "name": "assessment-objective", + "id": "END-04_END-04_A17", + "prose": "malicious code protection mechanisms are configured to block malicious code, quarantine malicious code, or take other actions in response to malicious code detection." + }, + { + "name": "assessment-objective", + "id": "END-04_END-04_A18", + "prose": "the frequency at which malicious code protection mechanisms perform scans is defined." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_10.0" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_10.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_10.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_10.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_10.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_10.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_10.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_10.4" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss05.01" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:uem-09" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:cls-14" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:comp-2.2" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-3.2" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-3.2-re-1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:sar-3.2" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:hdr-3.2" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:ndr-3.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.7" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_12.2.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:si-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:si-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:si-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:si-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:si-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:si-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:si-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:si-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:si-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:si-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:si-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.14.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.14.02.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.14.02.c.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.14.02.c.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.14.2-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.14.2-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.14.5-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.14.5-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.14.5-c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.14.02.odp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.14.02.a-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.14.02.a-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.14.02.c.02" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:de.cm-09" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_5.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_5.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_5.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_5.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_5.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_5.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_5.3.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_5.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_5.3.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_5.3.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_5.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_5.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_5.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_5.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_5.3.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_5.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_5.3.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_5.3.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_5.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_5.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_5.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_5.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_5.3.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_5.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_5.3.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_5.3.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_5.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_5.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_5.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_5.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_5.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_5.3.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_5.3.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_5.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_5.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_5.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_5.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_5.3.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_5.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_5.3.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_5.3.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_5.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_5.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_5.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_5.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_5.3.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_5.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_5.3.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_5.3.5" + } + ] + }, + { + "id": "END-04.1", + "title": "Automatic Antimalware Signature Updates", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "END-04.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to update antimalware technologies, including signature definitions." + }, + { + "name": "assessment-objective", + "id": "END-04.1_END-04.1_A01", + "prose": "malicious code protection mechanisms are updated as new releases are available." + }, + { + "name": "assessment-objective", + "id": "END-04.1_END-04.1_A02", + "prose": "malicious code protection mechanisms are updated as new releases are available in accordance with configuration management policy and procedures." + }, + { + "name": "assessment-objective", + "id": "END-04.1_END-04.1_A03", + "prose": "malicious code protection mechanisms are updated when new releases are available." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_10.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_10.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_10.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_10.2" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss05.01" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:comp-2.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.7" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_12.2.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:si-3-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:si-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:si-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:si-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:si-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:si-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:si-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:si-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:si-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:si-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:si-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:si-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:si-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:si-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:si-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:si-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:si-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:si-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:si-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:si-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:si-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.14.4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.14.02.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.14.4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.14.02.b" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_5.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_5.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_5.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_5.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_5.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_5.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_5.3.1" + }, + { + "rel": "part-of", + "href": "#END-04" + } + ] + }, + { + "id": "END-04.2", + "title": "Documented Protection Measures", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to document antimalware technologies." + }, + { + "name": "assessment-objective", + "id": "END-04.2_END-04.2_A01", + "prose": "antimalware technologies are documented." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_5.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_5.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_5.1.2" + }, + { + "rel": "part-of", + "href": "#END-04" + } + ] + }, + { + "id": "END-04.3", + "title": "Centralized Management of Antimalware Technologies", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "END-04.3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to centrally-manage antimalware technologies." + }, + { + "name": "assessment-objective", + "id": "END-04.3_END-04.3_A01", + "prose": "antimalware controls and related processes to be centrally managed are defined." + }, + { + "name": "assessment-objective", + "id": "END-04.3_END-04.3_A02", + "prose": "antimalware controls and related processes are centrally managed." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_10.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_10.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_10.6" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-3.2-re-2" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:hdr-3.2-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:si-3-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pl-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pl-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pl-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pl-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:pl-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:pl-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.14.02.a" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_5.3.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_5.3.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_5.3.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_5.3.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_5.3.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_5.3.4" + }, + { + "rel": "part-of", + "href": "#END-04" + } + ] + }, + { + "id": "END-04.4", + "title": "Heuristic / Nonsignature-Based Detection", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "END-04.4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to utilize heuristic / nonsignature-based antimalware detection capabilities." + }, + { + "name": "assessment-objective", + "id": "END-04.4_END-04.4_A01", + "prose": "malicious code protection mechanisms are implemented at system entry and exit points to detect malicious code." + }, + { + "name": "assessment-objective", + "id": "END-04.4_END-04.4_A02", + "prose": "malicious code protection mechanisms are updated automatically as new releases are available in accordance with organizational configuration management policy and procedures." + }, + { + "name": "assessment-objective", + "id": "END-04.4_END-04.4_A03", + "prose": "malicious code protection mechanisms are configured to perform periodic scans of the system frequency." + }, + { + "name": "assessment-objective", + "id": "END-04.4_END-04.4_A04", + "prose": "malicious code protection mechanisms are configured to perform real-time scans of files from external sources as the files are downloaded, opened or executed in accordance with organizational policy." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_10.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_10.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_10.7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:si-3-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:si-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:si-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:si-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:si-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:si-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:si-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:si-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:si-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:si-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:si-3" + }, + { + "rel": "part-of", + "href": "#END-04" + } + ] + }, + { + "id": "END-04.5", + "title": "Malware Protection Mechanism Testing", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to test antimalware technologies by introducing a known benign, non-spreading test case into the system and subsequently verifying that both detection of the test case and associated incident reporting occurs." + }, + { + "name": "assessment-objective", + "id": "END-04.5_END-04.5_A01", + "prose": "the frequency at which to test malicious code protection mechanisms is defined." + }, + { + "name": "assessment-objective", + "id": "END-04.5_END-04.5_A02", + "prose": "malicious code protection mechanisms are tested frequently by introducing known benign code into the system." + }, + { + "name": "assessment-objective", + "id": "END-04.5_END-04.5_A03", + "prose": "the detection of (benign test) code occurs." + }, + { + "name": "assessment-objective", + "id": "END-04.5_END-04.5_A04", + "prose": "the associated incident reporting occurs." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:comp-2.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:si-3-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-03-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-03-06" + }, + { + "rel": "part-of", + "href": "#END-04" + } + ] + }, + { + "id": "END-04.6", + "title": "Evolving Malware Threats", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to perform periodic evaluations evolving malware threats to assess systems that are generally not considered to be commonly affected by malicious software." + }, + { + "name": "assessment-objective", + "id": "END-04.6_END-04.6_A01", + "prose": "system components that require diversity are defined." + }, + { + "name": "assessment-objective", + "id": "END-04.6_END-04.6_A02", + "prose": "diversity in system components is created to reduce the extent of malicious code propagation." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_5.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_5.2.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_5.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_5.2.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_5.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_5.2.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_5.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_5.2.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_5.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_5.2.3.1" + }, + { + "rel": "part-of", + "href": "#END-04" + } + ] + }, + { + "id": "END-04.7", + "title": "Always On Protection", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "END-04.7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure that anti-malware technologies are continuously running in real-time and cannot be disabled or altered by non-privileged users, unless specifically authorized by management on a case-by-case basis for a limited time period." + }, + { + "name": "assessment-objective", + "id": "END-04.7_END-04.7_A01", + "prose": "malicious code protection mechanisms are configured to perform real-time scans of files from external sources as the files are downloaded, opened or executed." + }, + { + "name": "assessment-objective", + "id": "END-04.7_END-04.7_A02", + "prose": "malicious code protection mechanisms are configured to perform scans of the system per an organization-defined frequency." + }, + { + "name": "assessment-objective", + "id": "END-04.7_END-04.7_A03", + "prose": "malicious code protection mechanisms are configured to perform real-time scans of files from external sources at endpoints or system entry and exit points as the files are downloaded, opened, or executed." + }, + { + "name": "assessment-objective", + "id": "END-04.7_END-04.7_A04", + "prose": "malicious code protection mechanisms are configured to perform scans of the system ." + }, + { + "name": "assessment-objective", + "id": "END-04.7_END-04.7_A05", + "prose": "real-time malicious code scans of files from external sources as files are downloaded, opened, or executed are performed." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_10.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_10.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_10.4" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss05.01" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:uem-09" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:comp-2.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.14.5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.14.02.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.14.02.c.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.14.02.c.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.14.5-c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.14.02.c.01-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.14.02.c.01-02" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_5.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_5.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_5.3.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_5.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_5.3.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_5.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_5.3.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_5.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_5.3.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_5.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_5.3.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_5.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_5.3.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_5.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_5.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_5.3.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_5.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_5.3.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_5.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_5.3.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_5.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_5.3.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_5.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_5.3.5" + }, + { + "rel": "part-of", + "href": "#END-04" + } + ] + }, + { + "id": "END-05", + "title": "Software Firewall", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to utilize host-based firewall software, or a similar technology, on all endpoint devices, where technically feasible." + }, + { + "name": "assessment-objective", + "id": "END-05_END-05_A01", + "prose": "host-based firewall software, or similar technologies, are used on all systems, where technically feasible." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_4.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_4.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_4.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_4.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_4.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_4.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_4.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_4.5" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:uem-10" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_1.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.5.1" + } + ] + }, + { + "id": "END-06", + "title": "Endpoint File Integrity Monitoring (FIM)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "END-06" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to utilize File Integrity Monitor (FIM), or similar technologies, to detect and report on unauthorized changes to selected files and configuration settings." + }, + { + "name": "assessment-objective", + "id": "END-06_END-06_A01", + "prose": "software, firmware and/or information requiring integrity verification tools to be employed to detect unauthorized changes is defined." + }, + { + "name": "assessment-objective", + "id": "END-06_END-06_A02", + "prose": "actions to be taken when unauthorized changes to software, firmware and/or information are detected are defined." + }, + { + "name": "assessment-objective", + "id": "END-06_END-06_A03", + "prose": "integrity verification tools are employed to detect unauthorized changes to software, firmware and/or information." + }, + { + "name": "assessment-objective", + "id": "END-06_END-06_A04", + "prose": "actions are taken when unauthorized changes to the software, firmware and/or information are detected." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:sap-06" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sm-6" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-3.4" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:pr.ds-p6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:si-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:si-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:si-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:si-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:si-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:si-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:si-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:si-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:si-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:si-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:si-7" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:de.cm-09" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.3.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.5.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_11.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.3.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_11.5.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_11.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_10.3.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_11.5.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.3.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_11.5.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_11.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.3.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.5.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.6.1" + } + ] + }, + { + "id": "END-06.1", + "title": "Integrity Checks", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to validate configurations through integrity checking of software and firmware." + }, + { + "name": "assessment-objective", + "id": "END-06.1_END-06.1_A01", + "prose": "software, firmware and/or information on which an integrity check is to be performed is defined." + }, + { + "name": "assessment-objective", + "id": "END-06.1_END-06.1_A02", + "prose": "an integrity check of software, firmware and/or information is performed per an organization-defined time period." + }, + { + "name": "assessment-objective", + "id": "END-06.1_END-06.1_A03", + "prose": "transitional states or security-relevant events requiring integrity checks software, firmware and/or information are defined." + }, + { + "name": "assessment-objective", + "id": "END-06.1_END-06.1_A04", + "prose": "the frequency with which to perform an integrity check software, firmware and/or information is defined." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:iot-03" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-2.4-re-1" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:pr.ds-p6" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:pr.ds-p8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:si-7-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-07-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:si-07-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-07-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:si-07-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:si-07-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:si-07-01" + }, + { + "rel": "part-of", + "href": "#END-06" + } + ] + }, + { + "id": "END-06.2", + "title": "Endpoint Detection & Response (EDR)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to detect and respond to unauthorized configuration changes as cybersecurity incidents." + }, + { + "name": "assessment-objective", + "id": "END-06.2_END-06.2_A01", + "prose": "security-relevant changes to the system are defined." + }, + { + "name": "assessment-objective", + "id": "END-06.2_END-06.2_A02", + "prose": "the detection of changes is incorporated into the organizational incident response capability." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:respond" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_2.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_2.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_13.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_2.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_2.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_2.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_2.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_2.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_13.7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:si-7-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-07-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:si-07-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-07-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:si-07-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:si-07-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:si-07-07" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.7.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.7.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.7.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.7.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.7.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.7.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.7.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.7.3" + }, + { + "rel": "part-of", + "href": "#END-06" + } + ] + }, + { + "id": "END-06.3", + "title": "Automated Notifications of Integrity Violations", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to alert incident response personnel upon discovering discrepancies during integrity verification." + }, + { + "name": "assessment-objective", + "id": "END-06.3_END-06.3_A01", + "prose": "personnel or roles to whom notification is to be provided upon discovering discrepancies during integrity verification is/are defined." + }, + { + "name": "assessment-objective", + "id": "END-06.3_END-06.3_A02", + "prose": "automated tools that provide notification to personnel or roles upon discovering discrepancies during integrity verification are employed." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:respond" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:pr.ds-p6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:si-7-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-07-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:si-07-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-07-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:si-07-02" + }, + { + "rel": "part-of", + "href": "#END-06" + } + ] + }, + { + "id": "END-06.4", + "title": "Automated Response to Integrity Violations", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to implement remediation actions when integrity violations are discovered." + }, + { + "name": "assessment-objective", + "id": "END-06.4_END-06.4_A01", + "prose": "controls to be implemented automatically when integrity violations are discovered are defined." + }, + { + "name": "assessment-objective", + "id": "END-06.4_END-06.4_A02", + "prose": "organization-defined actions are automatically performed when integrity violations are discovered." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:respond" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:si-7-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-07-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:si-07-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-07-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:si-07-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:si-07-05" + }, + { + "rel": "part-of", + "href": "#END-06" + } + ] + }, + { + "id": "END-06.5", + "title": "Boot Process Integrity", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to verify the integrity of the boot process of systems." + }, + { + "name": "assessment-objective", + "id": "END-06.5_END-06.5_A01", + "prose": "system components requiring integrity verification of the boot process are defined." + }, + { + "name": "assessment-objective", + "id": "END-06.5_END-06.5_A02", + "prose": "the integrity of the boot process of system components is verified." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-3.14" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:edr-3.14" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:hdr-3.14" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:ndr-3.14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:si-7-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-07-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-07-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:si-07-09" + }, + { + "rel": "part-of", + "href": "#END-06" + } + ] + }, + { + "id": "END-06.6", + "title": "Protection of Boot Firmware", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to protect the integrity of boot firmware in systems." + }, + { + "name": "assessment-objective", + "id": "END-06.6_END-06.6_A01", + "prose": "mechanisms to be implemented to protect the integrity of boot firmware in system components are defined." + }, + { + "name": "assessment-objective", + "id": "END-06.6_END-06.6_A02", + "prose": "system components requiring mechanisms to protect the integrity of boot firmware are defined." + }, + { + "name": "assessment-objective", + "id": "END-06.6_END-06.6_A03", + "prose": "mechanisms are implemented to protect the integrity of boot firmware in system components." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:edr-3.14-1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:hdr-3.14-1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:ndr-3.14-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:si-7-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-07-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-07-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:si-07-10" + }, + { + "rel": "part-of", + "href": "#END-06" + } + ] + }, + { + "id": "END-06.7", + "title": "Binary or Machine-Executable Code", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to prohibit the use of binary or machine-executable code from sources with limited or no warranty and without access to source code." + }, + { + "name": "assessment-objective", + "id": "END-06.7_END-06.7_A01", + "prose": "the use of binary or machine-executable code is prohibited when it originates from sources with limited or no warranty or without the provision of source code." + }, + { + "name": "assessment-objective", + "id": "END-06.7_END-06.7_A02", + "prose": "exceptions to the prohibition of binary or machine-executable code from sources with limited or no warranty or without the provision of source code are allowed only for compelling mission or operational requirements." + }, + { + "name": "assessment-objective", + "id": "END-06.7_END-06.7_A03", + "prose": "exceptions to the prohibition of binary or machine-executable code from sources with limited or no warranty or without the provision of source code are allowed only with the approval of the authorizing official." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:si-7-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cm-07-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cm-07-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:cm-7-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:si-7-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:cm-7-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:si-7-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:cm-7-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:si-7-14" + }, + { + "rel": "part-of", + "href": "#END-06" + } + ] + }, + { + "id": "END-06.8", + "title": "Extended Detection & Response (XDR)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to implement Extended Detection & Response (XDR) technologies to correlate data and respond to threats across multiple security layers, including:\r\n(1) Endpoints;\r\n(2) On-premises networks; \r\n(3) Cloud-based networks;\r\n(4) Electronic communications; \r\n(5) Applications; and\r\n(6) Services." + }, + { + "name": "assessment-objective", + "id": "END-06.8_END-06.8_A01", + "prose": "Extended Detection & Response (XDR) technologies are used to correlate data and respond to threats across multiple security layers." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#END-06" + } + ] + }, + { + "id": "END-07", + "title": "Host Intrusion Detection and Prevention Systems (HIDS / HIPS)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "END-07" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to utilize Host-based Intrusion Detection / Prevention Systems (HIDS / HIPS), or similar technologies, to monitor for and protect against anomalous host activity, including lateral movement across the network." + }, + { + "name": "assessment-objective", + "id": "END-07_END-07_A01", + "prose": "Host-based Intrusion Detection / Prevention Systems (HIDS / HIPS), or a similar technology, is deployed on business-critical systems." + }, + { + "name": "assessment-objective", + "id": "END-07_END-07_A02", + "prose": "Host-based Intrusion Detection / Prevention Systems (HIDS / HIPS), or a similar technology, is deployed on systems that store, process and/or transmit sensitive / regulated data." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_13.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_13.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_13.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_13.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_13.7" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:cls-14" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:sap-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.14.06.a.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.14.06.a.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.14.06.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.14.06.c" + } + ] + }, + { + "id": "END-08", + "title": "Phishing & Spam Protection", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "END-08" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to utilize anti-phishing and spam protection technologies to detect and take action on unsolicited messages transported by electronic mail." + }, + { + "name": "assessment-objective", + "id": "END-08_END-08_A01", + "prose": "spam protection mechanisms are employed at system entry points to detect unsolicited messages." + }, + { + "name": "assessment-objective", + "id": "END-08_END-08_A02", + "prose": "spam protection mechanisms are employed at system entry points to act on unsolicited messages." + }, + { + "name": "assessment-objective", + "id": "END-08_END-08_A03", + "prose": "spam protection mechanisms are employed at system exit points to detect unsolicited messages." + }, + { + "name": "assessment-objective", + "id": "END-08_END-08_A04", + "prose": "spam protection mechanisms are employed at system exit points to act on unsolicited messages." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_9.0" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_9.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_9.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_9.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_9.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_9.7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:si-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:si-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:si-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:si-08" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_5.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_5.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_5.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_5.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_5.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_5.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_5.4.1" + } + ] + }, + { + "id": "END-08.1", + "title": "Central Management", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to centrally-manage anti-phishing and spam protection technologies." + }, + { + "name": "assessment-objective", + "id": "END-08.1_END-08.1_A01", + "prose": "endpoint security controls and related processes to be centrally managed are defined." + }, + { + "name": "assessment-objective", + "id": "END-08.1_END-08.1_A02", + "prose": "endpoint security controls and related processes are centrally managed." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:si-8-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pl-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pl-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pl-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pl-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:pl-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:pl-9" + }, + { + "rel": "part-of", + "href": "#END-08" + } + ] + }, + { + "id": "END-08.2", + "title": "Automatic Spam and Phishing Protection Updates", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to automatically update anti-phishing and spam protection technologies when new releases are available in accordance with configuration and change management practices." + }, + { + "name": "assessment-objective", + "id": "END-08.2_END-08.2_A01", + "prose": "the frequency at which to automatically update spam protection mechanisms is defined." + }, + { + "name": "assessment-objective", + "id": "END-08.2_END-08.2_A02", + "prose": "spam protection mechanisms are automatically updated frequently." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:si-8-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-08-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:si-08-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-08-02" + }, + { + "rel": "part-of", + "href": "#END-08" + } + ] + }, + { + "id": "END-09", + "title": "Trusted Path", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to establish a trusted communications path between the user and the security functions of the operating system." + }, + { + "name": "assessment-objective", + "id": "END-09_END-09_A01", + "prose": "an organization-defined isolated trusted communication path (e.g., Control-Alt-Delete in Microsoft Windows) is provided for communications between the user and the trusted components of the system." + }, + { + "name": "assessment-objective", + "id": "END-09_END-09_A02", + "prose": "users are permitted to invoke the trusted communication path (e.g., Control-Alt-Delete in Microsoft Windows) for communications between the user and the security functions of the system, including authentication and re-authentication, at a minimum." + }, + { + "name": "assessment-objective", + "id": "END-09_END-09_A03", + "prose": "logical security functions of the system are defined." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.5" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_9.4.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sc-11" + } + ] + }, + { + "id": "END-10", + "title": "Mobile Code", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "END-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to address mobile code / operating system-independent applications." + }, + { + "name": "assessment-objective", + "id": "END-10_END-10_A01", + "prose": "acceptable mobile code technologies are defined." + }, + { + "name": "assessment-objective", + "id": "END-10_END-10_A02", + "prose": "unacceptable mobile code technologies are defined." + }, + { + "name": "assessment-objective", + "id": "END-10_END-10_A03", + "prose": "the use of mobile code is authorized, monitored and controlled." + }, + { + "name": "assessment-objective", + "id": "END-10_END-10_A04", + "prose": "the download of unacceptable mobile code is prevented." + }, + { + "name": "assessment-objective", + "id": "END-10_END-10_A05", + "prose": "the execution of unacceptable mobile code is prevented." + }, + { + "name": "assessment-objective", + "id": "END-10_END-10_A06", + "prose": "corrective actions to be taken when unacceptable mobile code is identified are defined." + }, + { + "name": "assessment-objective", + "id": "END-10_END-10_A07", + "prose": "corrective actions are taken if unacceptable mobile code is identified." + }, + { + "name": "assessment-objective", + "id": "END-10_END-10_A08", + "prose": "mobile code requirements for the acquisition, development and use of mobile code to be deployed in the system are defined." + }, + { + "name": "assessment-objective", + "id": "END-10_END-10_A09", + "prose": "the acquisition of mobile code to be deployed in the system meets mobile code requirements." + }, + { + "name": "assessment-objective", + "id": "END-10_END-10_A10", + "prose": "the development of mobile code to be deployed in the system meets mobile code requirements." + }, + { + "name": "assessment-objective", + "id": "END-10_END-10_A11", + "prose": "the use of mobile code to be deployed in the system meets mobile code requirements." + }, + { + "name": "assessment-objective", + "id": "END-10_END-10_A12", + "prose": "unacceptable mobile code to be prevented from downloading and executing is defined." + }, + { + "name": "assessment-objective", + "id": "END-10_END-10_A13", + "prose": "software applications in which the automatic execution of mobile code is to be prevented are defined." + }, + { + "name": "assessment-objective", + "id": "END-10_END-10_A14", + "prose": "actions to be enforced by the system prior to executing mobile code are defined." + }, + { + "name": "assessment-objective", + "id": "END-10_END-10_A15", + "prose": "the automatic execution of mobile code in software applications is prevented." + }, + { + "name": "assessment-objective", + "id": "END-10_END-10_A16", + "prose": "platform-independent applications to be included within organizational systems are defined." + }, + { + "name": "assessment-objective", + "id": "END-10_END-10_A17", + "prose": "platform-independent applications are included within organizational systems." + }, + { + "name": "assessment-objective", + "id": "END-10_END-10_A18", + "prose": "acceptable mobile code is defined." + }, + { + "name": "assessment-objective", + "id": "END-10_END-10_A19", + "prose": "the use of mobile code is authorized." + }, + { + "name": "assessment-objective", + "id": "END-10_END-10_A20", + "prose": "the use of mobile code is monitored." + }, + { + "name": "assessment-objective", + "id": "END-10_END-10_A21", + "prose": "the use of mobile code is controlled." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-2.4" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-2.4-a" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-2.4-b" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-2.4-c" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-2.4-d" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:sar-2.4" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:sar-2.4-a" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:sar-2.4-b" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:sar-2.4-c" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:sar-2.4-1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:edr-2.4" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:edr-2.4-a" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:edr-2.4-b" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:edr-2.4-c" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:hdr-2.4" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:hdr-2.4-a" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:hdr-2.4-b" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:hdr-2.4-c" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:ndr-2.4" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:ndr-2.4-a" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:ndr-2.4-b" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:ndr-2.4-c" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:ndr-2.4-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-18-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-18-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-18-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-18-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-27" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-18-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-18-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-18-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-18-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-27" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sc-18-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sc-18-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sc-18-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sc-18-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:sc-18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-18-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-18-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-18-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-18-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-27" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sc-18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sc-18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sc-27" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sc-18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sc-18-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sc-27" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sc-27" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sc-18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sc-18-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sc-27" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.13.13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.13.13.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.13.13.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.13.13-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.13.13-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.13.13.a-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.13.13.a-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.13.13.b-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.13.13.b-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.13.13.b-03" + } + ] + }, + { + "id": "END-11", + "title": "Thin Nodes", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to configure thin nodes to have minimal functionality and information storage." + }, + { + "name": "assessment-objective", + "id": "END-11_END-11_A01", + "prose": "system components to be employed with minimal functionality and information storage are defined." + }, + { + "name": "assessment-objective", + "id": "END-11_END-11_A02", + "prose": "minimal functionality for system components is employed." + }, + { + "name": "assessment-objective", + "id": "END-11_END-11_A03", + "prose": "minimal information storage on system components is allocated." + }, + { + "name": "assessment-objective", + "id": "END-11_END-11_A04", + "prose": "physical isolation techniques are defined." + }, + { + "name": "assessment-objective", + "id": "END-11_END-11_A05", + "prose": "logical isolation techniques are defined." + }, + { + "name": "assessment-objective", + "id": "END-11_END-11_A06", + "prose": "physical isolation techniques and/or logical isolation techniques are employed in organizational systems and system components." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-25" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-25" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-25" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sc-25" + } + ] + }, + { + "id": "END-12", + "title": "Port & Input / Output (I/O) Device Access", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to physically disable or remove unnecessary connection ports or input/output devices from sensitive systems." + }, + { + "name": "assessment-objective", + "id": "END-12_END-12_A01", + "prose": "connection ports or input/output devices to be disabled or removed are defined." + }, + { + "name": "assessment-objective", + "id": "END-12_END-12_A02", + "prose": "systems or system components with connection ports or input/output devices to be disabled or removed are defined." + }, + { + "name": "assessment-objective", + "id": "END-12_END-12_A03", + "prose": "connection ports or input/output devices that are prohibited are disabled or removed on systems or system components." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-41" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-41" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-41" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:sc-41" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sc-41" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sc-41" + } + ] + }, + { + "id": "END-13", + "title": "Sensor Capability", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to configure embedded sensors on systems to: \r\n(1) Prohibit the remote activation of sensing capabilities; and\r\n(2) Provide an explicit indication of sensor use to users." + }, + { + "name": "assessment-objective", + "id": "END-13_END-13_A01", + "prose": "environmental sensing capabilities in devices are defined." + }, + { + "name": "assessment-objective", + "id": "END-13_END-13_A02", + "prose": "facilities, areas or systems where the use of devices possessing environmental sensing capabilities is prohibited are defined." + }, + { + "name": "assessment-objective", + "id": "END-13_END-13_A03", + "prose": "exceptions where remote activation of sensors is allowed are defined." + }, + { + "name": "assessment-objective", + "id": "END-13_END-13_A04", + "prose": "group of users to whom an explicit indication of sensor use is to be provided is defined." + }, + { + "name": "assessment-objective", + "id": "END-13_END-13_A05", + "prose": "organization-defined parameters are prohibited." + }, + { + "name": "assessment-objective", + "id": "END-13_END-13_A06", + "prose": "an explicit indication of sensor use is provided to a group of users." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-42" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-42" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-42" + } + ] + }, + { + "id": "END-13.1", + "title": "Authorized Use", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to utilize organization-defined measures so that data or information collected by sensors is only used for authorized purposes." + }, + { + "name": "assessment-objective", + "id": "END-13.1_END-13.1_A01", + "prose": "measures to be employed so that data or information collected by sensors is only used for authorized purposes are defined." + }, + { + "name": "assessment-objective", + "id": "END-13.1_END-13.1_A02", + "prose": "organization-defined measures are employed so that data or information collected by sensors is only used for authorized purposes." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-42-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-42-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-42-02" + }, + { + "rel": "part-of", + "href": "#END-13" + } + ] + }, + { + "id": "END-13.2", + "title": "Notice of Collection", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to notify individuals that Personal Data (PD) is collected by sensors." + }, + { + "name": "assessment-objective", + "id": "END-13.2_END-13.2_A01", + "prose": "measures to facilitate an individual’s awareness that Personal Data (PD) is being collected are defined." + }, + { + "name": "assessment-objective", + "id": "END-13.2_END-13.2_A02", + "prose": "sensors that collect Personal Data (PD) are defined." + }, + { + "name": "assessment-objective", + "id": "END-13.2_END-13.2_A03", + "prose": "organization-defined measures are employed to facilitate an individual’s awareness that Personal Data (PD) is being collected by sensors" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-42-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-42-04" + }, + { + "rel": "part-of", + "href": "#END-13" + } + ] + }, + { + "id": "END-13.3", + "title": "Collection Minimization", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to utilize sensors that are configured to minimize the collection of information about individuals." + }, + { + "name": "assessment-objective", + "id": "END-13.3_END-13.3_A01", + "prose": "processes that implement the privacy principle of minimization are defined." + }, + { + "name": "assessment-objective", + "id": "END-13.3_END-13.3_A02", + "prose": "the privacy principle of minimization is implemented using organization-defined processes." + }, + { + "name": "assessment-objective", + "id": "END-13.3_END-13.3_A03", + "prose": "the sensors that are configured to minimize the collection of unneeded information about individuals are defined." + }, + { + "name": "assessment-objective", + "id": "END-13.3_END-13.3_A04", + "prose": "sensors configured to minimize the collection of information about individuals that is not needed are employed." + }, + { + "name": "assessment-objective", + "id": "END-13.3_END-13.3_A05", + "prose": "the frequency for reviewing / updating policies that address the use of Personal Data (PD) for internal testing, training and research is defined." + }, + { + "name": "assessment-objective", + "id": "END-13.3_END-13.3_A06", + "prose": "policies that address the use of Personal Data (PD) for internal testing, training and research are developed and documented." + }, + { + "name": "assessment-objective", + "id": "END-13.3_END-13.3_A07", + "prose": "procedures that address the use of Personal Data (PD) for internal testing, training and research are developed and documented." + }, + { + "name": "assessment-objective", + "id": "END-13.3_END-13.3_A08", + "prose": "policies that address the use of Personal Data (PD) for internal testing, training and research are implemented." + }, + { + "name": "assessment-objective", + "id": "END-13.3_END-13.3_A09", + "prose": "procedures that address the use of Personal Data (PD) for internal testing, training and research are implemented." + }, + { + "name": "assessment-objective", + "id": "END-13.3_END-13.3_A10", + "prose": "the amount of Personal Data (PD) used for internal testing, training and research purposes is limited or minimized." + }, + { + "name": "assessment-objective", + "id": "END-13.3_END-13.3_A11", + "prose": "the required use of Personal Data (PD) for internal testing, training and research is authorized." + }, + { + "name": "assessment-objective", + "id": "END-13.3_END-13.3_A12", + "prose": "policies are reviewed / updated frequently." + }, + { + "name": "assessment-objective", + "id": "END-13.3_END-13.3_A13", + "prose": "procedures are reviewed / updated frequently." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iec-tr-60601-4-5-2021:_4.5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pm-25" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-08-33" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-42-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pm-25" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sa-08-33" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pm-25" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-08-33" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-42-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pm-25" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pm-25" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pm-25" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pm-25" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:pm-25" + }, + { + "rel": "part-of", + "href": "#END-13" + } + ] + }, + { + "id": "END-13.4", + "title": "Sensor Delivery Verification", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to verify embedded technology sensors are configured so that data collected by the sensor(s) is only reported to authorized individuals or roles." + }, + { + "name": "assessment-objective", + "id": "END-13.4_END-13.4_A01", + "prose": "sensors to be used to collect data or information are defined." + }, + { + "name": "assessment-objective", + "id": "END-13.4_END-13.4_A02", + "prose": "systems are configured so that data or information collected by the sensors is only reported to authorized individuals or roles." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-42-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-42-01" + }, + { + "rel": "part-of", + "href": "#END-13" + } + ] + }, + { + "id": "END-14", + "title": "Collaborative Computing Devices", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "END-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to unplug or prohibit the remote activation of collaborative computing devices with the following exceptions: \r\n(1) Networked whiteboards; \r\n(2) Video teleconference cameras; and \r\n(3) Teleconference microphones." + }, + { + "name": "assessment-objective", + "id": "END-14_END-14_A01", + "prose": "collaborative computing devices are identified." + }, + { + "name": "assessment-objective", + "id": "END-14_END-14_A02", + "prose": "collaborative computing devices provide indication to users of devices in use." + }, + { + "name": "assessment-objective", + "id": "END-14_END-14_A03", + "prose": "remote activation of collaborative computing devices is prohibited." + }, + { + "name": "assessment-objective", + "id": "END-14_END-14_A04", + "prose": "exceptions where remote activation is to be allowed are defined." + }, + { + "name": "assessment-objective", + "id": "END-14_END-14_A05", + "prose": "the remote activation of collaborative computing devices and applications is prohibited with organization-defined exceptions." + }, + { + "name": "assessment-objective", + "id": "END-14_END-14_A06", + "prose": "an explicit indication of use is provided to users physically present at the devices." + }, + { + "name": "assessment-objective", + "id": "END-14_END-14_A07", + "prose": "collaborative computing devices are logically or physically disconnected." + }, + { + "name": "assessment-objective", + "id": "END-14_END-14_A08", + "prose": "disconnect of collaborative computing devices is/are provided in a manner that supports ease of use." + }, + { + "name": "assessment-objective", + "id": "END-14_END-14_A09", + "prose": "the remote activation of collaborative computing devices and applications is prohibited with the following exceptions: ." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-15" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-15-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-15" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-15-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:sc-15" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-15" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-15-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:sc-15" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sc-15" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sc-15" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sc-15-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.13.12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.13.12.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.13.12-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.13.12-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.13.12-c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.13.12.odp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.13.12.a" + } + ] + }, + { + "id": "END-14.1", + "title": "Disabling / Removal In Secure Work Areas", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to disable or remove collaborative computing devices from critical systems and secure work areas." + }, + { + "name": "assessment-objective", + "id": "END-14.1_END-14.1_A01", + "prose": "systems or system components from which collaborative computing devices are to be disabled or removed are defined." + }, + { + "name": "assessment-objective", + "id": "END-14.1_END-14.1_A02", + "prose": "secure work areas where collaborative computing devices are to be disabled or removed from systems or system components are defined." + }, + { + "name": "assessment-objective", + "id": "END-14.1_END-14.1_A03", + "prose": "collaborative computing devices and applications are disabled or removed from systems or system components in secure work areas." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-15-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-15-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-15-03" + }, + { + "rel": "part-of", + "href": "#END-14" + } + ] + }, + { + "id": "END-14.2", + "title": "Explicitly Indicate Current Participants", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to provide an explicit indication of current participants in online meetings and teleconferences." + }, + { + "name": "assessment-objective", + "id": "END-14.2_END-14.2_A01", + "prose": "online meetings and teleconferences for which an explicit indication of current participants is to be provided are defined." + }, + { + "name": "assessment-objective", + "id": "END-14.2_END-14.2_A02", + "prose": "an explicit indication of current participants in online meetings and teleconferences is provided." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-15-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-15-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-15-04" + }, + { + "rel": "part-of", + "href": "#END-14" + } + ] + }, + { + "id": "END-14.3", + "title": "Participant Identity Verification", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "END-14.3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to verify individual identities to ensure that access to virtual meetings is limited to appropriate individuals." + }, + { + "name": "assessment-objective", + "id": "END-14.3_END-14.3_A01", + "prose": "personnel are trained to limit access to virtual meetings to appropriate individuals." + }, + { + "name": "assessment-objective", + "id": "END-14.3_END-14.3_A02", + "prose": "technologies used to conduct virtual meetings can verify individual identities." + }, + { + "name": "assessment-objective", + "id": "END-14.3_END-14.3_A03", + "prose": "individual identities are verified to ensure that access to virtual meetings is limited to appropriate individuals." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#END-14" + } + ] + }, + { + "id": "END-14.4", + "title": "Participant Connection Management", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "END-14.4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure the meeting host can positively control an individual's participation in virtual meetings." + }, + { + "name": "assessment-objective", + "id": "END-14.4_END-14.4_A01", + "prose": "technologies used to conduct virtual meetings allow the host to positively control an individual's participation." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#END-14" + } + ] + }, + { + "id": "END-14.5", + "title": "Malicious Link & File Protections", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "END-14.5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to detect malicious links and/or files in communications and prevent users from accessing those malicious links and/or files." + }, + { + "name": "assessment-objective", + "id": "END-14.5_END-14.5_A01", + "prose": "antimalware technologies can detect malicious links and/or files in communications." + }, + { + "name": "assessment-objective", + "id": "END-14.5_END-14.5_A02", + "prose": "antimalware technologies can prevent users from accessing malicious links and/or files sent in communications." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#END-14" + } + ] + }, + { + "id": "END-14.6", + "title": "Explicit Indication Of Use", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "END-14.6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to configure collaborative computing devices to provide physically-present individuals with an explicit indication of use." + }, + { + "name": "assessment-objective", + "id": "END-14.6_END-14.6_A01", + "prose": "an explicit indication of use is provided to users who are physically present at the devices." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.13.12.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.13.12.b" + }, + { + "rel": "part-of", + "href": "#END-14" + } + ] + }, + { + "id": "END-15", + "title": "Hypervisor Access", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to restrict access to hypervisor management functions or administrative consoles for systems hosting virtualized systems." + }, + { + "name": "assessment-objective", + "id": "END-15_END-15_A01", + "prose": "access to hypervisor management functions or administrative consoles for systems hosting virtualized systems is restricted." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + } + ] + }, + { + "id": "END-16", + "title": "Restrict Access To Security Functions", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure security functions are restricted to authorized individuals and enforce least privilege control requirements for necessary job functions." + }, + { + "name": "assessment-objective", + "id": "END-16_END-16_A01", + "prose": "system configurations isolate security functions from non-security functions." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sc-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:sc-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sc-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sc-03" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a01-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a05-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_2.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_3.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.7.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.4.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.4.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_2.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_11.4.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_3.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_3.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_11.4.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_2.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_3.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_11.4.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_3.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_2.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_3.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_11.4.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_2.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_3.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.7.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.4.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.4.6" + } + ] + }, + { + "id": "END-16.1", + "title": "Host-Based Security Function Isolation", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to implement underlying software separation mechanisms to facilitate security function isolation." + }, + { + "name": "assessment-objective", + "id": "END-16.1_END-16.1_A01", + "prose": "host-based boundary protection mechanisms to be implemented are defined." + }, + { + "name": "assessment-objective", + "id": "END-16.1_END-16.1_A02", + "prose": "system components where host-based boundary protection mechanisms are to be implemented are defined." + }, + { + "name": "assessment-objective", + "id": "END-16.1_END-16.1_A03", + "prose": "host-based boundary protection mechanisms are implemented at system components." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-7-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-07-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-07-12" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_2.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_2.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_2.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_2.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_2.2.3" + }, + { + "rel": "part-of", + "href": "#END-16" + } + ] + } + ] + }, + { + "id": "human-resources-security", + "title": "Human Resources Security", + "controls": [ + { + "id": "HRS-01", + "title": "Human Resources Security Management", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "HRS-01" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.33", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.34", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.35", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.36", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.37", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.38", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.39", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to facilitate the implementation of personnel security controls." + }, + { + "name": "assessment-objective", + "id": "HRS-01_HRS-01_A01", + "prose": "personnel security procedures to facilitate the implementation of the personnel security policy and associated personnel security controls are developed and documented." + }, + { + "name": "assessment-objective", + "id": "HRS-01_HRS-01_A02", + "prose": "an official to manage the personnel security policy and procedures is defined." + }, + { + "name": "assessment-objective", + "id": "HRS-01_HRS-01_A03", + "prose": "a personnel security policy is developed and documented." + }, + { + "name": "assessment-objective", + "id": "HRS-01_HRS-01_A04", + "prose": "the personnel security policy is disseminated to organization-defined personnel or roles." + }, + { + "name": "assessment-objective", + "id": "HRS-01_HRS-01_A05", + "prose": "personnel or roles to whom the personnel security policy is to be disseminated is/are defined." + }, + { + "name": "assessment-objective", + "id": "HRS-01_HRS-01_A06", + "prose": "personnel or roles to whom the personnel security procedures are to be disseminated is/are defined." + }, + { + "name": "assessment-objective", + "id": "HRS-01_HRS-01_A07", + "prose": "the frequency at which the current personnel security policy is reviewed / updated is defined." + }, + { + "name": "assessment-objective", + "id": "HRS-01_HRS-01_A08", + "prose": "events that would require the current personnel security policy to be reviewed / updated are defined." + }, + { + "name": "assessment-objective", + "id": "HRS-01_HRS-01_A09", + "prose": "the frequency at which the current personnel security procedures are reviewed / updated is defined." + }, + { + "name": "assessment-objective", + "id": "HRS-01_HRS-01_A10", + "prose": "events that would require the personnel security procedures to be reviewed / updated are defined." + }, + { + "name": "assessment-objective", + "id": "HRS-01_HRS-01_A11", + "prose": "the personnel security procedures are disseminated to organization-defined personnel or roles." + }, + { + "name": "assessment-objective", + "id": "HRS-01_HRS-01_A12", + "prose": "the organization's personnel security policy addresses purpose." + }, + { + "name": "assessment-objective", + "id": "HRS-01_HRS-01_A13", + "prose": "the organization's personnel security policy addresses scope." + }, + { + "name": "assessment-objective", + "id": "HRS-01_HRS-01_A14", + "prose": "the organization's personnel security policy addresses roles." + }, + { + "name": "assessment-objective", + "id": "HRS-01_HRS-01_A15", + "prose": "the organization's personnel security policy addresses responsibilities." + }, + { + "name": "assessment-objective", + "id": "HRS-01_HRS-01_A16", + "prose": "the organization's personnel security policy addresses management commitment." + }, + { + "name": "assessment-objective", + "id": "HRS-01_HRS-01_A17", + "prose": "the organization's personnel security policy addresses coordination among organizational entities." + }, + { + "name": "assessment-objective", + "id": "HRS-01_HRS-01_A18", + "prose": "the organization's personnel security policy addresses compliance." + }, + { + "name": "assessment-objective", + "id": "HRS-01_HRS-01_A19", + "prose": "the organization's personnel security policy is consistent with applicable laws, Executive Orders, directives, regulations, policies, standards, and guidelines." + }, + { + "name": "assessment-objective", + "id": "HRS-01_HRS-01_A20", + "prose": "an organization-defined official is designated to manage the development, documentation, and dissemination of the personnel security policy and procedures." + }, + { + "name": "assessment-objective", + "id": "HRS-01_HRS-01_A21", + "prose": "the current personnel security policy is reviewed / updated organization-defined frequency." + }, + { + "name": "assessment-objective", + "id": "HRS-01_HRS-01_A22", + "prose": "the current personnel security policy is reviewed / updated following organization-defined events." + }, + { + "name": "assessment-objective", + "id": "HRS-01_HRS-01_A23", + "prose": "the current personnel security procedures are reviewed / updated organization-defined frequency." + }, + { + "name": "assessment-objective", + "id": "HRS-01_HRS-01_A24", + "prose": "the current personnel security procedures are reviewed / updated following organization-defined events." + }, + { + "name": "assessment-objective", + "id": "HRS-01_HRS-01_A25", + "prose": "information security-related duties, roles, and responsibilities are defined." + }, + { + "name": "assessment-objective", + "id": "HRS-01_HRS-01_A26", + "prose": "information security-related duties, roles, and responsibilities are assigned to designated personnel." + }, + { + "name": "assessment-objective", + "id": "HRS-01_HRS-01_A27", + "prose": "personnel are adequately trained to carry out their assigned information security-related duties, roles, and responsibilities." + }, + { + "name": "assessment-objective", + "id": "HRS-01_HRS-01_A28", + "prose": "criteria and/or process for terminating system access authorization and any credentials coincident with personnel actions is established." + }, + { + "name": "assessment-objective", + "id": "HRS-01_HRS-01_A29", + "prose": "the time period for account inactivity before disabling is defined." + }, + { + "name": "assessment-objective", + "id": "HRS-01_HRS-01_A30", + "prose": "the time period within which to notify account managers and designated personnel or roles when accounts are no longer required is defined." + }, + { + "name": "assessment-objective", + "id": "HRS-01_HRS-01_A31", + "prose": "the time period within which to notify account managers and designated personnel or roles when users are terminated or transferred is defined." + }, + { + "name": "assessment-objective", + "id": "HRS-01_HRS-01_A32", + "prose": "the time period within which to notify account managers and designated personnel or roles when system usage or the need-to-know changes for an individual is defined." + }, + { + "name": "assessment-objective", + "id": "HRS-01_HRS-01_A33", + "prose": "personnel management operations are conducted according to documented policies, standards, procedures and/or other organizational directives." + }, + { + "name": "assessment-objective", + "id": "HRS-01_HRS-01_A34", + "prose": "adequate resources (e.g., people, processes, technologies, data and/or facilities) are provided to support personnel management operations." + }, + { + "name": "assessment-objective", + "id": "HRS-01_HRS-01_A35", + "prose": "responsibility and authority for the performance of personnel management-related activities are assigned to designated personnel." + }, + { + "name": "assessment-objective", + "id": "HRS-01_HRS-01_A36", + "prose": "personnel performing personnel management-related activities have the skills and knowledge needed to perform their assigned duties." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo07.01" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo07.04" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo07.05" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo07.06" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_1" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_4" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_5" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:hrs-01" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.2-d" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.3-a" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.3-b" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.3-c" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_7.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_7.2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-4.1" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:pr.po-p9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ps-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ps-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ps-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ps-01" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.308-a-3" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.312-d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ps-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ps-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ps-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ps-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ps-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:ps-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:ps-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:ps-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ps-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ps-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.1.22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:nfo-ps-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.01.g.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.15.03.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.15.03.d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.2.2-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.2.2-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.2.2-c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.9.2-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.01.odp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.01.odp-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.01.odp-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.01.odp-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:po.2.1" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.rr-04" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.am" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.7.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_12.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.7.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.7.1" + } + ] + }, + { + "id": "HRS-01.1", + "title": "Onboarding, Transferring & Offboarding Personnel", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management", + "value": "3.5.3.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to proactively govern the following personnel management actions:\r\n(1) Onboarding new personnel (e.g., new hires);\r\n(2) Transferring personnel into new roles within the organization; and \r\n(3) Offboarding personnel (e.g., termination of employment)." + }, + { + "name": "assessment-objective", + "id": "HRS-01.1_HRS-01.1_A01", + "prose": "the organization proactively governs secure practices to address personnel onboarding, transfers and offboarding actions" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:hrs-06" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:org-1.4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.9.2" + }, + { + "rel": "part-of", + "href": "#HRS-01" + } + ] + }, + { + "id": "HRS-02", + "title": "Position Categorization", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "HRS-02" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to manage personnel security risk by assigning a risk designation to all positions and establishing screening criteria for individuals filling those positions." + }, + { + "name": "assessment-objective", + "id": "HRS-02_HRS-02_A01", + "prose": "the frequency at which to review / update position risk designations is defined." + }, + { + "name": "assessment-objective", + "id": "HRS-02_HRS-02_A02", + "prose": "a risk designation is assigned to all organizational positions." + }, + { + "name": "assessment-objective", + "id": "HRS-02_HRS-02_A03", + "prose": "screening criteria are established for individuals filling organizational positions." + }, + { + "name": "assessment-objective", + "id": "HRS-02_HRS-02_A04", + "prose": "position risk designations are reviewed / updated per an organization-defined frequency." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_2" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.2-a" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_6.1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_7.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ps-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ps-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ps-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ps-02" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.308-a-3" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.312-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ps-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ps-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ps-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ps-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.01.c.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.01.c.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.01.d.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.01.d.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.09.01.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.09.01.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.9.1e" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.rr-02" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.aa-05" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.7.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.7.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.7.1" + } + ] + }, + { + "id": "HRS-02.1", + "title": "Users With Elevated Privileges", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "HRS-02.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure that every user accessing Technology Assets, Applications and/or Services (TAAS) that process, store and/or transmit sensitive/regulated data is cleared and regularly trained to handle the information in question." + }, + { + "name": "assessment-objective", + "id": "HRS-02.1_HRS-02.1_A01", + "prose": "every user accessing a system, application or service that processes, stores or transmits sensitive / regulated information is cleared and regularly trained to handle the information in question." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.9.2e" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.7.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.7.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.7.1" + }, + { + "rel": "part-of", + "href": "#HRS-02" + } + ] + }, + { + "id": "HRS-02.2", + "title": "Probationary Periods", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to identify newly onboarded personnel for enhanced monitoring during their probationary period." + }, + { + "name": "assessment-objective", + "id": "HRS-02.2_HRS-02.2_A01", + "prose": "additional monitoring to be implemented on individuals during probationary periods is defined." + }, + { + "name": "assessment-objective", + "id": "HRS-02.2_HRS-02.2_A02", + "prose": "the probationary period of individuals is defined." + }, + { + "name": "assessment-objective", + "id": "HRS-02.2_HRS-02.2_A03", + "prose": "additional monitoring of individuals is implemented during probationary period." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-04-21" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-04-21" + }, + { + "rel": "part-of", + "href": "#HRS-02" + } + ] + }, + { + "id": "HRS-03", + "title": "Defined Roles & Responsibilities", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "HRS-03" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management", + "value": "3.5.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to define cybersecurity roles & responsibilities for all personnel." + }, + { + "name": "assessment-objective", + "id": "HRS-03_HRS-03_A01", + "prose": "cybersecurity / data privacy roles and responsibilities are incorporated into organizational position descriptions." + }, + { + "name": "assessment-objective", + "id": "HRS-03_HRS-03_A02", + "prose": "the incident response plan is protected from unauthorized disclosure." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss06.03" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_2" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_3" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_14" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:cek-02" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:grc-06" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:hrs-09" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:gvn-01" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:org-1.3" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sm-2" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-05-07" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-06-01" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_5.3" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.4.2.2" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.4.2.4-a" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.4.2.4-b" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_5.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.3-b" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_6.1.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_4.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_5.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_7.3" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_5.4.3" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_5.3" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_7.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.3.2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-2.0" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-2.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:govern-1.5" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-1.5-001" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:gv.po-p2" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:gv.po-p3" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:cm.po-p2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-37-r2:task-p-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:pm-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pm-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ps-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pm-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ps-09" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.308-a-3" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.310-a" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.312-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pm-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ps-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pm-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ps-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pm-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ps-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pm-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ps-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pm-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:pm-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:pm-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.22.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.06.04.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.06.05.d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.07.06.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.08.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.15.03.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.16.03.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.06.05.d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.9.1e" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:po.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:po.2.1" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.rm-05" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.rr" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.rr-02" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.am" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_2.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_3.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_3.7.8" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_4.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_5.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_7.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.10.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:a3.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_12.10.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_12.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_12.10.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_12.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_12.10.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_12.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_12.10.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_12.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_12.10.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_12.10.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_2.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_3.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_3.7.8" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_4.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_5.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_7.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_11.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.10.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_2.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_3.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_3.7.8" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_5.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_7.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.10.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-p2pe:_12.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-p2pe:_12.10.1" + } + ] + }, + { + "id": "HRS-03.1", + "title": "User Awareness", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "HRS-03.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to communicate with users about their roles and responsibilities to maintain a safe and secure working environment." + }, + { + "name": "assessment-objective", + "id": "HRS-03.1_HRS-03.1_A01", + "prose": "users are formally made aware of their roles and responsibilities to maintain a safe and secure working environment." + }, + { + "name": "assessment-objective", + "id": "HRS-03.1_HRS-03.1_A02", + "prose": "acknowledgement of user awareness is maintained by the organization." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_4" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:hrs-13" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.3-a" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.3-b" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.3-c" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_7.3" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_7.3" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-4.1" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:gv.po-p2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.22.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.15.03.b" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.rr-04" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_2.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_3.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_4.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_5.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_7.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.6.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_12.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_12.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_12.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_12.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_2.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_3.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_4.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_5.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_7.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_11.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.6.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_2.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_3.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_5.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_7.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.6.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-p2pe:_12.1.3" + }, + { + "rel": "part-of", + "href": "#HRS-03" + } + ] + }, + { + "id": "HRS-03.2", + "title": "Competency Requirements for Security-Related Positions", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "HRS-03.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management", + "value": "3.5.1.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure that all security-related positions are staffed by qualified individuals who have the necessary skill set." + }, + { + "name": "assessment-objective", + "id": "HRS-03.2_HRS-03.2_A01", + "prose": "defined competency requirements ensure that all cybersecurity / data privacy-related positions are staffed by qualified individuals who have the necessary skill set." + }, + { + "name": "assessment-objective", + "id": "HRS-03.2_HRS-03.2_A02", + "prose": "a risk designation is assigned to all organizational positions." + }, + { + "name": "assessment-objective", + "id": "HRS-03.2_HRS-03.2_A03", + "prose": "the frequency at which to review / update position risk designations is defined." + }, + { + "name": "assessment-objective", + "id": "HRS-03.2_HRS-03.2_A04", + "prose": "screening criteria are established for individuals filling organizational positions." + }, + { + "name": "assessment-objective", + "id": "HRS-03.2_HRS-03.2_A05", + "prose": "position risk designations are reviewed / updated per an organization-defined frequency." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo01.08" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_2" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_3" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_4" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_5" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-05-07" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_7.2" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_7.2-a" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_7.2-b" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_7.2-c" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_7.2-d" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.4.2.3" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.4.2.3-a" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.4.2.3-b" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.4.2.3-c" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.4.2.3-d" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.4.2.3-e" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.4.2.3-f" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.4.2.3-g" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.4.2.3-h" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.2-a" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.2-b" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.2-c" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.2-d" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_7.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_7.2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-4.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:map-1.2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:map-3.4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ps-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ps-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ps-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ps-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ps-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ps-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ps-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ps-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.07.06.d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:po.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_6.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_6.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.2.2" + }, + { + "rel": "part-of", + "href": "#HRS-03" + } + ] + }, + { + "id": "HRS-04", + "title": "Personnel Screening", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "HRS-04" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to manage personnel security risk by screening individuals prior to authorizing access." + }, + { + "name": "assessment-objective", + "id": "HRS-04_HRS-04_A01", + "prose": "conditions that require the rescreening of individuals are defined." + }, + { + "name": "assessment-objective", + "id": "HRS-04_HRS-04_A02", + "prose": "the frequency of rescreening individuals where it is so indicated is defined." + }, + { + "name": "assessment-objective", + "id": "HRS-04_HRS-04_A03", + "prose": "individuals are screened prior to authorizing access to the system." + }, + { + "name": "assessment-objective", + "id": "HRS-04_HRS-04_A04", + "prose": "individuals are rescreened in accordance with organization-defined conditions." + }, + { + "name": "assessment-objective", + "id": "HRS-04_HRS-04_A05", + "prose": "individuals are screened prior to authorizing access to organizational systems." + }, + { + "name": "assessment-objective", + "id": "HRS-04_HRS-04_A06", + "prose": "where rescreening is so indicated, individuals are rescreened per organization-defined frequency." + }, + { + "name": "assessment-objective", + "id": "HRS-04_HRS-04_A07", + "prose": "conditions that require the rescreening of individuals are defined." + }, + { + "name": "assessment-objective", + "id": "HRS-04_HRS-04_A08", + "prose": "individuals are rescreened in accordance with the following conditions: ." + }, + { + "name": "assessment-objective", + "id": "HRS-04_HRS-04_A09", + "prose": "upon individual reassignment or transfer to other positions in the organization, the ongoing operational need for current logical and physical access authorizations to the system and facility is reviewed." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_4" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:hrs-01" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:org-1.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.2-b" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.2-c" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_6.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_7.1.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_6.1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_7.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ps-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ps-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ps-03" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.312-d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ps-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ps-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ps-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ps-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ps-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:ps-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:ps-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ps-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ps-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.9.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.09.01.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.09.01.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.9.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.09.01.odp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.09.01.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.09.01.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.09.02.b.01-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.9.1e" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.7.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.7.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.7.1" + } + ] + }, + { + "id": "HRS-04.1", + "title": "Roles With Special Protection Measures", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "HRS-04.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure that individuals accessing a system that stores, transmits or processes information requiring special protection satisfy organization-defined personnel screening criteria." + }, + { + "name": "assessment-objective", + "id": "HRS-04.1_HRS-04.1_A01", + "prose": "enhanced personnel screening for individuals is defined." + }, + { + "name": "assessment-objective", + "id": "HRS-04.1_HRS-04.1_A02", + "prose": "the frequency with which to reassess individual positions and access to sensitive / regulated data is defined." + }, + { + "name": "assessment-objective", + "id": "HRS-04.1_HRS-04.1_A03", + "prose": "individuals that require enhanced personnel screening are identified." + }, + { + "name": "assessment-objective", + "id": "HRS-04.1_HRS-04.1_A04", + "prose": "positions that require access to sensitive / regulated data are identified." + }, + { + "name": "assessment-objective", + "id": "HRS-04.1_HRS-04.1_A05", + "prose": "enhanced personnel screening is conducted for individuals." + }, + { + "name": "assessment-objective", + "id": "HRS-04.1_HRS-04.1_A06", + "prose": "individual positions and access to sensitive / regulated data is reassessed per an organization-defined frequency." + }, + { + "name": "assessment-objective", + "id": "HRS-04.1_HRS-04.1_A07", + "prose": "individuals with access to sensitive / regulated data are identified." + }, + { + "name": "assessment-objective", + "id": "HRS-04.1_HRS-04.1_A08", + "prose": "adverse information about individuals with access to sensitive / regulated data is defined." + }, + { + "name": "assessment-objective", + "id": "HRS-04.1_HRS-04.1_A09", + "prose": "organizational systems to which individuals have access are identified." + }, + { + "name": "assessment-objective", + "id": "HRS-04.1_HRS-04.1_A10", + "prose": "mechanisms are in place to protect organizational systems if adverse information develops or is obtained about individuals with access to sensitive / regulated data." + }, + { + "name": "assessment-objective", + "id": "HRS-04.1_HRS-04.1_A11", + "prose": "individuals accessing a system, application or service processing, storing or transmitting sensitive / regulated data are cleared." + }, + { + "name": "assessment-objective", + "id": "HRS-04.1_HRS-04.1_A12", + "prose": "individuals accessing a system, application or service processing, storing or transmitting sensitive / regulated data are indoctrinated to the highest classification level of the information to which they have access on the system." + }, + { + "name": "assessment-objective", + "id": "HRS-04.1_HRS-04.1_A13", + "prose": "additional personnel screening criteria to be satisfied for individuals accessing a system, application or service processing, storing or transmitting information requiring special protection are defined." + }, + { + "name": "assessment-objective", + "id": "HRS-04.1_HRS-04.1_A14", + "prose": "individuals accessing a system, application or service processing, storing or transmitting information requiring special protection have valid access authorizations that are demonstrated by assigned duties." + }, + { + "name": "assessment-objective", + "id": "HRS-04.1_HRS-04.1_A15", + "prose": "individuals accessing a system, application or service processing, storing or transmitting information requiring special protection satisfy additional personnel screening criteria." + }, + { + "name": "assessment-objective", + "id": "HRS-04.1_HRS-04.1_A16", + "prose": "conditions that require the rescreening of individuals are defined." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss06.03" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_4" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_6.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_6.1.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_7.1.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_6.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_7.3" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_7.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.3.2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-2.0" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-4.1" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:cm.po-p2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ps-3-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ps-3-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ps-03-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ps-03-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ps-03-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ps-03-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.9.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.22.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.02.02.a.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.09.01.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.09.01.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.09.01.odp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.9.1e" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.7.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.7.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.7.1" + }, + { + "rel": "part-of", + "href": "#HRS-04" + } + ] + }, + { + "id": "HRS-04.2", + "title": "Formal Indoctrination", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "HRS-04.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to formally educate authorized users on proper data handling practices for all the relevant types of data to which they have access." + }, + { + "name": "assessment-objective", + "id": "HRS-04.2_HRS-04.2_A01", + "prose": "individuals accessing a system, application or service processing, storing or transmitting types of sensitive / regulated data that require formal indoctrination are formally indoctrinated for all of the relevant types of information to which they have access on the system." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_4" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:hrs-07" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:hrs-13" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_7.3" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_7.3-a" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_7.3-b" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_7.3-c" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_7.3-d" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.3-a" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.3-b" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.3-c" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_7.3" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_6.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_7.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ps-3-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ps-03-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ps-03-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.2.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.2.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.22.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.02.02.a.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.06.04.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.06.04.a.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.15.03.b" + }, + { + "rel": "part-of", + "href": "#HRS-04" + } + ] + }, + { + "id": "HRS-04.3", + "title": "Citizenship Requirements", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to verify that individuals accessing a system processing, storing, or transmitting sensitive information meet applicable statutory, regulatory and/or contractual requirements for citizenship." + }, + { + "name": "assessment-objective", + "id": "HRS-04.3_HRS-04.3_A01", + "prose": "information types that are processed, stored or transmitted by a system, application or service that requires individuals accessing the system to meet citizenship requirements are defined." + }, + { + "name": "assessment-objective", + "id": "HRS-04.3_HRS-04.3_A02", + "prose": "citizenship requirements to be met by individuals to access a system, application or service processing, storing or transmitting information are defined." + }, + { + "name": "assessment-objective", + "id": "HRS-04.3_HRS-04.3_A03", + "prose": "individuals accessing a system, application or service processing, storing or transmitting information types meet citizenship requirements." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ps-03-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ps-03-04" + }, + { + "rel": "part-of", + "href": "#HRS-04" + } + ] + }, + { + "id": "HRS-04.4", + "title": "Citizenship Identification", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to identify foreign nationals, including by their specific citizenship." + }, + { + "name": "assessment-objective", + "id": "HRS-04.4_HRS-04.4_A01", + "prose": "foreign nationals, including by their specific citizenship, are identified." + }, + { + "name": "assessment-objective", + "id": "HRS-04.4_HRS-04.4_A02", + "prose": "foreign citizenship identification is made conspicuous to other users in environments that contain export-controlled data." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "part-of", + "href": "#HRS-04" + } + ] + }, + { + "id": "HRS-05", + "title": "Terms of Employment", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "HRS-05" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to require all employees and contractors to apply cybersecurity and data protection principles in their daily work to enable secure, compliant and resilient capabilities." + }, + { + "name": "assessment-objective", + "id": "HRS-05_HRS-05_A01", + "prose": "through terms of employment, all employees and contractors are required to apply cybersecurity / data privacy principles in their daily work." + }, + { + "name": "assessment-objective", + "id": "HRS-05_HRS-05_A02", + "prose": "rules are provided to individuals who require access to the system." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_1" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:hrs-02" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:hrs-07" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:hrs-08" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:hrs-13" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.3-a" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.3-b" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.3-c" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.14" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_6.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_5.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_7.1.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_7.2.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_13.2.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.14" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_6.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_7.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:pl-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pl-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pl-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:pl-04" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.310-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pl-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pl-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pl-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pl-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pl-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:pl-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:pl-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:pl-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.1.22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:nfo-pl-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.01.h" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.22.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.15.03.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.15.03.b" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.am" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_12.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_12.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_12.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_12.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_12.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-p2pe:_12.1.3" + } + ] + }, + { + "id": "HRS-05.1", + "title": "Rules of Behavior", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "HRS-05.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to define acceptable and unacceptable rules of behavior for the use of technologies, including consequences for unacceptable behavior." + }, + { + "name": "assessment-objective", + "id": "HRS-05.1_HRS-05.1_A01", + "prose": "rules that describe responsibilities and expected behavior for system usage and protecting sensitive / regulated data are established." + }, + { + "name": "assessment-objective", + "id": "HRS-05.1_HRS-05.1_A02", + "prose": "before authorizing access to information and the system, a documented acknowledgement from such individuals indicating that they have read, understand and agree to abide by the rules of behavior is received." + }, + { + "name": "assessment-objective", + "id": "HRS-05.1_HRS-05.1_A03", + "prose": "the frequency at which the rules of behavior are reviewed and updated is defined." + }, + { + "name": "assessment-objective", + "id": "HRS-05.1_HRS-05.1_A04", + "prose": "the rules of behavior are reviewed / updated per an organization-defined frequency." + }, + { + "name": "assessment-objective", + "id": "HRS-05.1_HRS-05.1_A05", + "prose": "the frequency for individuals to read and re-acknowledge the rules of behavior is defined." + }, + { + "name": "assessment-objective", + "id": "HRS-05.1_HRS-05.1_A06", + "prose": "individuals who have acknowledged a previous version of the rules of behavior are required to read and reacknowledge the organization's current rules of behavior." + }, + { + "name": "assessment-objective", + "id": "HRS-05.1_HRS-05.1_A07", + "prose": "rules that describe responsibilities and expected behavior for system usage and protecting CUI are established." + }, + { + "name": "assessment-objective", + "id": "HRS-05.1_HRS-05.1_A08", + "prose": "the rules of behavior are reviewed ." + }, + { + "name": "assessment-objective", + "id": "HRS-05.1_HRS-05.1_A09", + "prose": "the rules of behavior are updated ." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_9.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_9.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_9.4" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_1" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:hrs-02" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:hrs-03" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:hrs-08" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.3-a" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.3-b" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.3-c" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.14" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_6.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_5.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_7.1.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_7.2.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_8.1.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_13.2.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.10" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.14" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_6.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_7.3" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-2.0" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-4.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-6.1-010" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:pl-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pl-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pl-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:pl-04" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.310-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pl-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pl-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pl-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pl-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pl-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:pl-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:pl-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:pl-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.1.22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:nfo-pl-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.12.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.18.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.22.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.15.03.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.15.03.d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.15.03.odp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.15.03.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.15.03.d-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.15.03.d-02" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.am" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_12.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_12.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_12.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_12.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_12.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-p2pe:_12.1.3" + }, + { + "rel": "part-of", + "href": "#HRS-05" + } + ] + }, + { + "id": "HRS-05.2", + "title": "Social Media & Social Networking Restrictions", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "HRS-05.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to define rules of behavior that contain explicit restrictions on the use of social media and networking sites, posting information on commercial websites and sharing account information." + }, + { + "name": "assessment-objective", + "id": "HRS-05.2_HRS-05.2_A01", + "prose": "the rules of behavior include restrictions on the use of social media, social networking sites and external sites/applications." + }, + { + "name": "assessment-objective", + "id": "HRS-05.2_HRS-05.2_A02", + "prose": "the rules of behavior include restrictions on posting organizational information on public websites." + }, + { + "name": "assessment-objective", + "id": "HRS-05.2_HRS-05.2_A03", + "prose": "the rules of behavior include restrictions on the use of organization-provided identifiers (e.g., email addresses) and authentication secrets (e.g., passwords) for creating accounts on external sites/applications." + }, + { + "name": "assessment-objective", + "id": "HRS-05.2_HRS-05.2_A04", + "prose": "rules that describe responsibilities and expected behavior for system usage and protecting sensitive / regulated data are established." + }, + { + "name": "assessment-objective", + "id": "HRS-05.2_HRS-05.2_A05", + "prose": "rules that describe responsibilities and expected behavior for system usage and protecting CUI are established." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_9.0" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.3-a" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.3-b" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.3-c" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_6.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_7.1.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_8.1.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.10" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_6.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_7.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:pl-4-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pl-04-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pl-04-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:pl-04-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pl-04-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pl-04-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pl-04-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pl-04-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.1.22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:nfo-pl-4-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.15.03.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.15.03.a" + }, + { + "rel": "part-of", + "href": "#HRS-05" + } + ] + }, + { + "id": "HRS-05.3", + "title": "Technology Use Restrictions", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "HRS-05.3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to establish usage restrictions and implementation guidance for organizational technologies based on the potential to cause damage to Technology Assets, Applications and/or Services (TAAS), if used maliciously." + }, + { + "name": "assessment-objective", + "id": "HRS-05.3_HRS-05.3_A01", + "prose": "rules that describe responsibilities and expected behavior for system usage and protecting sensitive / regulated data are established." + }, + { + "name": "assessment-objective", + "id": "HRS-05.3_HRS-05.3_A02", + "prose": "before authorizing access to information and the system, a documented acknowledgement from such individuals indicating that they have read, understand and agree to abide by the rules of behavior is received." + }, + { + "name": "assessment-objective", + "id": "HRS-05.3_HRS-05.3_A03", + "prose": "rules that describe responsibilities and expected behavior for system usage and protecting CUI are established." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:hrs-02" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-05-14" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.3-a" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.3-b" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.3-c" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_6.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_7.1.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_8.1.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.10" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_6.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_7.3" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-6.1-010" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-19" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pl-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pl-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:pl-04" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.310-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pl-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pl-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pl-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pl-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pl-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:pl-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:pl-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:pl-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.01.h" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.12.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.18.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.15.03.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.15.03.a" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_12.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.2.1" + }, + { + "rel": "part-of", + "href": "#HRS-05" + } + ] + }, + { + "id": "HRS-05.4", + "title": "Use of Critical Technologies", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "HRS-05.4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to govern usage policies for critical technologies." + }, + { + "name": "assessment-objective", + "id": "HRS-05.4_HRS-05.4_A01", + "prose": "rules that describe responsibilities and expected behavior for information and system usage, cybersecurity / data privacy are established for individuals requiring access to the system." + }, + { + "name": "assessment-objective", + "id": "HRS-05.4_HRS-05.4_A02", + "prose": "before authorizing access to information and the system, a documented acknowledgement from such individuals indicating that they have read, understand and agree to abide by the rules of behavior is received." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_9.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_9.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_9.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.3-a" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.3-b" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.3-c" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_7.3" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-2.0" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-4.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-4.2-001" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:id.be-p3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.15.03.a" + }, + { + "rel": "part-of", + "href": "#HRS-05" + } + ] + }, + { + "id": "HRS-05.5", + "title": "Use of Mobile Devices", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "HRS-05.5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to manage business risks associated with permitting mobile device access to organizational resources." + }, + { + "name": "assessment-objective", + "id": "HRS-05.5_HRS-05.5_A01", + "prose": "rules that describe responsibilities and expected behavior for system usage and protecting sensitive / regulated data are established." + }, + { + "name": "assessment-objective", + "id": "HRS-05.5_HRS-05.5_A02", + "prose": "before authorizing access to information and the system, a documented acknowledgement from such individuals indicating that they have read, understand and agree to abide by the rules of behavior is received." + }, + { + "name": "assessment-objective", + "id": "HRS-05.5_HRS-05.5_A03", + "prose": "rules that describe responsibilities and expected behavior for system usage and protecting CUI are established." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.3-a" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.3-b" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.3-c" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_6.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_7.1.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_6.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_7.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.18.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.15.03.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.15.03.a" + }, + { + "rel": "part-of", + "href": "#HRS-05" + } + ] + }, + { + "id": "HRS-05.6", + "title": "Security-Minded Dress Code", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to prohibit the use of oversized clothing (e.g., baggy pants, oversized hooded sweatshirts, etc.) to prevent the unauthorized exfiltration of data and technology assets." + }, + { + "name": "assessment-objective", + "id": "HRS-05.6_HRS-05.6_A01", + "prose": "the use of oversized clothing (e.g., baggy pants, oversized hooded sweatshirts, etc.) is prohibited to prevent the unauthorized exfiltration of data and technology assets." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#HRS-05" + } + ] + }, + { + "id": "HRS-05.7", + "title": "Policy Familiarization & Acknowledgement", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "HRS-05.7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure personnel receive recurring familiarization with the organization's security, compliance and resilience policies and provide acknowledgement." + }, + { + "name": "assessment-objective", + "id": "HRS-05.7_HRS-05.7_A01", + "prose": "personnel receive recurring familiarization with the organization's cybersecurity / data privacy policies." + }, + { + "name": "assessment-objective", + "id": "HRS-05.7_HRS-05.7_A02", + "prose": "a documented acknowledgement from individuals indicating that they have read, understand, and agree to abide by the rules of behavior is received before authorizing access to sensitive / regulated data and the system." + }, + { + "name": "assessment-objective", + "id": "HRS-05.7_HRS-05.7_A03", + "prose": "a documented acknowledgement from individuals indicating that they have read, understand, and agree to abide by the rules of behavior is received before authorizing access to CUI and the system." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.3-c" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_7.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.15.03.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.15.03.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.15.03.d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.15.03.c" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.po" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.po-01" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.po-02" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.6.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.6.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.6.3" + }, + { + "rel": "part-of", + "href": "#HRS-05" + } + ] + }, + { + "id": "HRS-06", + "title": "Access Agreements", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "HRS-06" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to require internal and third-party users to sign appropriate access agreements prior to being granted access." + }, + { + "name": "assessment-objective", + "id": "HRS-06_HRS-06_A01", + "prose": "access agreements are developed and documented for organizational systems." + }, + { + "name": "assessment-objective", + "id": "HRS-06_HRS-06_A02", + "prose": "individuals requiring access to organizational information and systems sign appropriate access agreements prior to being granted access." + }, + { + "name": "assessment-objective", + "id": "HRS-06_HRS-06_A03", + "prose": "individuals requiring access to organizational information and systems re-sign access agreements to maintain access to organizational systems when access agreements have been updated or frequency." + }, + { + "name": "assessment-objective", + "id": "HRS-06_HRS-06_A04", + "prose": "the frequency at which to review / update access agreements is defined." + }, + { + "name": "assessment-objective", + "id": "HRS-06_HRS-06_A05", + "prose": "the frequency at which to re-sign access agreements to maintain access to organizational information is defined." + }, + { + "name": "assessment-objective", + "id": "HRS-06_HRS-06_A06", + "prose": "the access agreements are reviewed / updated frequently." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_5" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.14" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_8.1.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_13.2.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_13.2.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.10" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.14" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_7.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ps-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ps-6-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ps-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ps-06-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ps-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ps-06-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ps-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ps-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ps-06-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ps-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ps-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ps-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ps-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:ps-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:ps-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ps-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ps-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:nfo-ps-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.18.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.12.05.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.15.03.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.15.03.c" + } + ] + }, + { + "id": "HRS-06.1", + "title": "Confidentiality Agreements", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "HRS-06.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to require Non-Disclosure Agreements (NDAs) or similar confidentiality agreements that reflect the needs to protect data and operational details, or both employees and third-parties." + }, + { + "name": "assessment-objective", + "id": "HRS-06.1_HRS-06.1_A01", + "prose": "individuals requiring access to organizational information and systems sign appropriate access agreements prior to being granted access." + }, + { + "name": "assessment-objective", + "id": "HRS-06.1_HRS-06.1_A02", + "prose": "individuals requiring access to organizational information and systems re-sign access agreements to maintain access to organizational systems when access agreements have been updated or frequency." + }, + { + "name": "assessment-objective", + "id": "HRS-06.1_HRS-06.1_A03", + "prose": "the frequency at which to review / update access agreements is defined." + }, + { + "name": "assessment-objective", + "id": "HRS-06.1_HRS-06.1_A04", + "prose": "the frequency at which to re-sign access agreements to maintain access to organizational information is defined." + }, + { + "name": "assessment-objective", + "id": "HRS-06.1_HRS-06.1_A05", + "prose": "access agreements are developed and documented for organizational systems." + }, + { + "name": "assessment-objective", + "id": "HRS-06.1_HRS-06.1_A06", + "prose": "the access agreements are reviewed / updated frequently." + }, + { + "name": "assessment-objective", + "id": "HRS-06.1_HRS-06.1_A07", + "prose": "access to sensitive / regulated data requiring special protection is granted only to individuals who have a valid access authorization that is demonstrated by assigned duties." + }, + { + "name": "assessment-objective", + "id": "HRS-06.1_HRS-06.1_A08", + "prose": "access to sensitive / regulated data requiring special protection is granted only to individuals who satisfy associated personnel security criteria." + }, + { + "name": "assessment-objective", + "id": "HRS-06.1_HRS-06.1_A09", + "prose": "access to sensitive / regulated data requiring special protection is granted only to individuals who have read, understood and signed a non-disclosure agreement." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_5" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:hrs-10" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.14" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_6.6" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_13.2.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_13.2.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_13.2.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.14" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_6.6" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_7.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ps-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ps-6-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ps-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ps-06-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ps-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ps-06-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ps-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ps-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ps-06-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ps-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ps-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ps-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ps-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:ps-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:ps-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ps-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ps-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.12.05.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.15.03.c" + }, + { + "rel": "part-of", + "href": "#HRS-06" + } + ] + }, + { + "id": "HRS-06.2", + "title": "Post-Employment Requirements Awareness", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to notify individuals of their applicable, legally-binding post-employment requirements for the protection of sensitive/regulated data." + }, + { + "name": "assessment-objective", + "id": "HRS-06.2_HRS-06.2_A01", + "prose": "individuals are notified of applicable, legally binding post-employment requirements for the protection of organizational information." + }, + { + "name": "assessment-objective", + "id": "HRS-06.2_HRS-06.2_A02", + "prose": "individuals are required to sign an acknowledgement of applicable, legally binding post-employment requirements as part of being granted initial access to covered information." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ps-6-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ps-06-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ps-06-03" + }, + { + "rel": "part-of", + "href": "#HRS-06" + } + ] + }, + { + "id": "HRS-07", + "title": "Personnel Sanctions", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "HRS-07" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to sanction personnel failing to comply with established security policies, standards and procedures." + }, + { + "name": "assessment-objective", + "id": "HRS-07_HRS-07_A01", + "prose": "a formal sanctions process is employed for individuals failing to comply with established cybersecurity / data privacy policies and procedures." + }, + { + "name": "assessment-objective", + "id": "HRS-07_HRS-07_A02", + "prose": "criteria and/or process for terminating system access authorization and any credentials coincide with personnel actions is established." + }, + { + "name": "assessment-objective", + "id": "HRS-07_HRS-07_A03", + "prose": "personnel or roles to be notified when a formal employee sanctions process is initiated is/are defined." + }, + { + "name": "assessment-objective", + "id": "HRS-07_HRS-07_A04", + "prose": "the time period within which organization-defined personnel or roles must be notified when a formal employee sanctions process is initiated is defined." + }, + { + "name": "assessment-objective", + "id": "HRS-07_HRS-07_A05", + "prose": "personnel or roles is/are notified within an organization-defined time period when a formal employee sanctions process is initiated, identifying the individual sanctioned and the reason for the sanction." + }, + { + "name": "assessment-objective", + "id": "HRS-07_HRS-07_A06", + "prose": "system access and credentials are terminated consistent with personnel actions such as termination or transfer." + }, + { + "name": "assessment-objective", + "id": "HRS-07_HRS-07_A07", + "prose": "the system is protected during and after personnel transfer actions." + }, + { + "name": "assessment-objective", + "id": "HRS-07_HRS-07_A08", + "prose": "individuals with access to sensitive / regulated data are identified." + }, + { + "name": "assessment-objective", + "id": "HRS-07_HRS-07_A09", + "prose": "adverse information about individuals with access to sensitive / regulated data is defined." + }, + { + "name": "assessment-objective", + "id": "HRS-07_HRS-07_A10", + "prose": "organizational systems to which individuals have access are identified." + }, + { + "name": "assessment-objective", + "id": "HRS-07_HRS-07_A11", + "prose": "mechanisms are in place to protect organizational systems if adverse information develops or is obtained about individuals with access to sensitive / regulated data." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:respond" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_5" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_6.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_6.4" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_7.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ps-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ps-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ps-08" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.308-a-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ps-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ps-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ps-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ps-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:nfo-ps-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.01.f.04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.01.f.05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.9.2-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.9.2-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.9.2-c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.9.2e" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.po" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.po-01" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.po-02" + } + ] + }, + { + "id": "HRS-07.1", + "title": "Workplace Investigations", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "HRS-07.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to conduct employee misconduct investigations when there is reasonable assurance that a policy has been violated." + }, + { + "name": "assessment-objective", + "id": "HRS-07.1_HRS-07.1_A01", + "prose": "individuals with access to sensitive / regulated data are identified." + }, + { + "name": "assessment-objective", + "id": "HRS-07.1_HRS-07.1_A02", + "prose": "adverse information about individuals with access to sensitive / regulated data is defined." + }, + { + "name": "assessment-objective", + "id": "HRS-07.1_HRS-07.1_A03", + "prose": "organizational systems to which individuals have access are identified." + }, + { + "name": "assessment-objective", + "id": "HRS-07.1_HRS-07.1_A04", + "prose": "mechanisms are in place to protect organizational systems if adverse information develops or is obtained about individuals with access to sensitive / regulated data." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:respond" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_1" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_5" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_6.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_6.4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.01.f.04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.01.f.05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.9.2e" + }, + { + "rel": "part-of", + "href": "#HRS-07" + } + ] + }, + { + "id": "HRS-07.2", + "title": "Updating Disciplinary Processes", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to periodically review and, where appropriate, update disciplinary practices due to:\r\n(1) Legal changes;\r\n(2) Significant changes to operations; and\r\n(3) Applicable threats and risks." + }, + { + "name": "assessment-objective", + "id": "HRS-07.2_HRS-07.2_A01", + "prose": "disciplinary processes are updated due to legal changes (e.g., new laws or regulations)." + }, + { + "name": "assessment-objective", + "id": "HRS-07.2_HRS-07.2_A02", + "prose": "disciplinary processes are updated due to significant changes to operations (e.g., new locations, technologies, etc.)." + }, + { + "name": "assessment-objective", + "id": "HRS-07.2_HRS-07.2_A03", + "prose": "disciplinary processes are updated due to applicable threats and risks." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "part-of", + "href": "#HRS-07" + } + ] + }, + { + "id": "HRS-07.3", + "title": "Preventative Access Restriction", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "HRS-07.3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to proactively restrict logical and physical access when an individual with access to sensitive/regulated data is under investigation for personnel sanctions that may lead to employment termination." + }, + { + "name": "assessment-objective", + "id": "HRS-07.3_HRS-07.3_A01", + "prose": "logical access is proactively restricted when an individual with access to sensitive/regulated data is under investigation for personnel sanctions that may lead to employment termination." + }, + { + "name": "assessment-objective", + "id": "HRS-07.3_HRS-07.3_A02", + "prose": "physical access is proactively restricted when an individual with access to sensitive/regulated data is under investigation for personnel sanctions that may lead to employment termination." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.9.2e" + }, + { + "rel": "part-of", + "href": "#HRS-07" + } + ] + }, + { + "id": "HRS-08", + "title": "Personnel Transfer", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "HRS-08" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to adjust logical and physical access authorizations to Technology Assets, Applications and/or Services (TAAS) and facilities upon personnel reassignment or transfer, in a timely manner." + }, + { + "name": "assessment-objective", + "id": "HRS-08_HRS-08_A01", + "prose": "criteria and/or process for terminating system access authorization and any credentials coincide with personnel actions is established." + }, + { + "name": "assessment-objective", + "id": "HRS-08_HRS-08_A02", + "prose": "system access and credentials are terminated consistent with personnel actions such as termination or transfer." + }, + { + "name": "assessment-objective", + "id": "HRS-08_HRS-08_A03", + "prose": "the system is protected during and after personnel transfer actions." + }, + { + "name": "assessment-objective", + "id": "HRS-08_HRS-08_A04", + "prose": "transfer or reassignment actions to be initiated following transfer or reassignment are defined." + }, + { + "name": "assessment-objective", + "id": "HRS-08_HRS-08_A05", + "prose": "the time period within which transfer or reassignment actions must occur following transfer or reassignment is defined." + }, + { + "name": "assessment-objective", + "id": "HRS-08_HRS-08_A06", + "prose": "personnel or roles to be notified when individuals are reassigned or transferred to other positions within the organization is/are defined." + }, + { + "name": "assessment-objective", + "id": "HRS-08_HRS-08_A07", + "prose": "time period within which to notify organization-defined personnel or roles when individuals are reassigned or transferred to other positions within the organization is defined." + }, + { + "name": "assessment-objective", + "id": "HRS-08_HRS-08_A08", + "prose": "the ongoing operational need for current logical and physical access authorizations to systems and facilities are reviewed and confirmed when individuals are reassigned or transferred to other positions within the organization." + }, + { + "name": "assessment-objective", + "id": "HRS-08_HRS-08_A09", + "prose": "transfer or reassignment actions are initiated within an organization-defined time period following the formal transfer action." + }, + { + "name": "assessment-objective", + "id": "HRS-08_HRS-08_A10", + "prose": "access authorization is modified as needed to correspond with any changes in operational need due to reassignment or transfer." + }, + { + "name": "assessment-objective", + "id": "HRS-08_HRS-08_A11", + "prose": "personnel or roles are notified within an organization-defined time period." + }, + { + "name": "assessment-objective", + "id": "HRS-08_HRS-08_A12", + "prose": "the time period within which to disable system access is defined." + }, + { + "name": "assessment-objective", + "id": "HRS-08_HRS-08_A13", + "prose": "upon individual reassignment or transfer to other positions in the organization, the ongoing operational need for current logical and physical access authorizations to the system and facility is reviewed." + }, + { + "name": "assessment-objective", + "id": "HRS-08_HRS-08_A14", + "prose": "upon individual reassignment or transfer to other positions in the organization, the ongoing operational need for current logical and physical access authorizations to the system and facility is confirmed." + }, + { + "name": "assessment-objective", + "id": "HRS-08_HRS-08_A15", + "prose": "upon individual reassignment or transfer to other positions in the organization, access authorization is modified to correspond with any changes in operational need." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:iam-07" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_6.5" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_7.3.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_6.5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ps-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ps-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ps-05" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.308-a-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ps-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ps-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ps-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ps-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.9.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.01.g.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.09.02.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.09.02.b.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.9.2-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.9.2-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.9.2-c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.09.02.odp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.09.02.b.01-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.09.02.b.01-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.09.02.b.02" + } + ] + }, + { + "id": "HRS-09", + "title": "Personnel Termination", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "HRS-09" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to govern the termination of individual employment." + }, + { + "name": "assessment-objective", + "id": "HRS-09_HRS-09_A01", + "prose": "criteria and/or process for terminating system access authorization and any credentials coincide with personnel actions is established." + }, + { + "name": "assessment-objective", + "id": "HRS-09_HRS-09_A02", + "prose": "system access and credentials are terminated consistent with personnel actions such as termination or transfer." + }, + { + "name": "assessment-objective", + "id": "HRS-09_HRS-09_A03", + "prose": "the system is protected during and after personnel transfer actions." + }, + { + "name": "assessment-objective", + "id": "HRS-09_HRS-09_A04", + "prose": "the time period within which to disable system access is defined." + }, + { + "name": "assessment-objective", + "id": "HRS-09_HRS-09_A05", + "prose": "cybersecurity topics to be discussed when conducting exit interviews are defined." + }, + { + "name": "assessment-objective", + "id": "HRS-09_HRS-09_A06", + "prose": "upon termination of individual employment, authenticators associated with the individual are terminated or revoked." + }, + { + "name": "assessment-objective", + "id": "HRS-09_HRS-09_A07", + "prose": "upon termination of individual employment, credentials associated with the individual are terminated or revoked." + }, + { + "name": "assessment-objective", + "id": "HRS-09_HRS-09_A08", + "prose": "upon termination of individual employment, exit interviews that include a discussion of cybersecurity topics are conducted." + }, + { + "name": "assessment-objective", + "id": "HRS-09_HRS-09_A09", + "prose": "upon termination of individual employment, security-related system property is retrieved." + }, + { + "name": "assessment-objective", + "id": "HRS-09_HRS-09_A10", + "prose": "upon termination of individual employment, access to organizational information and systems formerly controlled by the terminated individual are retained." + }, + { + "name": "assessment-objective", + "id": "HRS-09_HRS-09_A11", + "prose": "upon termination of individual employment, system access is disabled within an organization-defined time period." + }, + { + "name": "assessment-objective", + "id": "HRS-09_HRS-09_A12", + "prose": "upon termination of individual employment, system access is disabled within ." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:hrs-06" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_6.5" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_7.3.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_6.5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ps-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ps-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ps-04" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.308-a-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ps-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ps-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ps-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ps-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.9.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.01.f.03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.01.g.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.09.02.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.09.02.a.03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.09.02.b.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.9.2-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.9.2-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.9.2-c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.09.02.odp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.09.02.a.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.09.02.a.02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.09.02.a.02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.09.02.a.03" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_8.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_8.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.2.5" + } + ] + }, + { + "id": "HRS-09.1", + "title": "Asset Collection", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "HRS-09.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to retrieve organization-owned assets upon termination of an individual's employment." + }, + { + "name": "assessment-objective", + "id": "HRS-09.1_HRS-09.1_A01", + "prose": "upon termination of individual employment, security-related system property is retrieved." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.09.02.a.03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.09.02.a.03" + }, + { + "rel": "part-of", + "href": "#HRS-09" + } + ] + }, + { + "id": "HRS-09.2", + "title": "High-Risk Terminations", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "HRS-09.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to expedite the process of removing \"high risk\" individual’s access to Technology Assets, Applications, Services and/or Data (TAASD) upon termination, as determined by management." + }, + { + "name": "assessment-objective", + "id": "HRS-09.2_HRS-09.2_A01", + "prose": "time period within which to disable accounts of individuals who are discovered to pose significant risk is defined." + }, + { + "name": "assessment-objective", + "id": "HRS-09.2_HRS-09.2_A02", + "prose": "significant risks leading to disabling accounts are defined." + }, + { + "name": "assessment-objective", + "id": "HRS-09.2_HRS-09.2_A03", + "prose": "accounts of individuals are disabled within an organization-defined time period of discovery of organization-defined significant risks." + }, + { + "name": "assessment-objective", + "id": "HRS-09.2_HRS-09.2_A04", + "prose": "individuals with access to sensitive / regulated data are identified." + }, + { + "name": "assessment-objective", + "id": "HRS-09.2_HRS-09.2_A05", + "prose": "adverse information about individuals with access to sensitive / regulated data is defined." + }, + { + "name": "assessment-objective", + "id": "HRS-09.2_HRS-09.2_A06", + "prose": "organizational systems to which individuals have access are identified." + }, + { + "name": "assessment-objective", + "id": "HRS-09.2_HRS-09.2_A07", + "prose": "mechanisms are in place to protect organizational systems if adverse information develops or is obtained about individuals with access to sensitive / regulated data." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:iam-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-02-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ac-02-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:ac-02-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-02-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ac-02-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ac-02-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.09.02.a.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.09.02.a.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.09.02.b.01" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_8.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_8.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.2.5" + }, + { + "rel": "part-of", + "href": "#HRS-09" + } + ] + }, + { + "id": "HRS-09.3", + "title": "Post-Employment Requirements Notification", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to govern former employee behavior by formally notifying terminated individuals of their applicable, legally binding post-employment requirements for the protection of sensitive/regulated data." + }, + { + "name": "assessment-objective", + "id": "HRS-09.3_HRS-09.3_A01", + "prose": "terminated individuals are notified of applicable, legally binding post-employment requirements for the protection of organizational information." + }, + { + "name": "assessment-objective", + "id": "HRS-09.3_HRS-09.3_A02", + "prose": "terminated individuals are required to sign an acknowledgement of post-employment requirements as part of the organizational termination process." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_6.5" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_6.5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ps-4-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ps-04-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ps-04-01" + }, + { + "rel": "part-of", + "href": "#HRS-09" + } + ] + }, + { + "id": "HRS-09.4", + "title": "Automated Employment Status Notifications", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "HRS-09.4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to notify Identity and Access Management (IAM) personnel or roles upon termination of an individual employment or contract." + }, + { + "name": "assessment-objective", + "id": "HRS-09.4_HRS-09.4_A01", + "prose": "automated mechanisms to notify personnel or roles of individual termination actions and/or to disable access to system resources are defined." + }, + { + "name": "assessment-objective", + "id": "HRS-09.4_HRS-09.4_A02", + "prose": "personnel or roles to be notified upon termination of an individual is/are defined." + }, + { + "name": "assessment-objective", + "id": "HRS-09.4_HRS-09.4_A03", + "prose": "automated mechanisms are used to notify personnel or roles of individual termination actions and/or disable access to system resources." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ps-4-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ps-04-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:ps-04-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ps-04-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ps-04-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.01.g.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.09.02.a.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.09.02.a.02" + }, + { + "rel": "part-of", + "href": "#HRS-09" + } + ] + }, + { + "id": "HRS-10", + "title": "Third-Party Personnel", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "HRS-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to govern third-party personnel by reviewing and monitoring third-party security, compliance and/or resilience roles and responsibilities." + }, + { + "name": "assessment-objective", + "id": "HRS-10_HRS-10_A01", + "prose": "personnel or roles to be notified of any personnel transfers or terminations of external personnel who possess organizational credentials and/or badges or who have system privileges is/are defined." + }, + { + "name": "assessment-objective", + "id": "HRS-10_HRS-10_A02", + "prose": "time period within which third-party providers are required to notify organization-defined personnel or roles of any personnel transfers or terminations of external personnel who possess organizational credentials and/or badges or who have system privileges is defined." + }, + { + "name": "assessment-objective", + "id": "HRS-10_HRS-10_A03", + "prose": "personnel security requirements are established, including security roles and responsibilities for external providers." + }, + { + "name": "assessment-objective", + "id": "HRS-10_HRS-10_A04", + "prose": "external providers are required to comply with personnel security policies and procedures established by the organization." + }, + { + "name": "assessment-objective", + "id": "HRS-10_HRS-10_A05", + "prose": "personnel security requirements are documented." + }, + { + "name": "assessment-objective", + "id": "HRS-10_HRS-10_A06", + "prose": "external providers are required to notify personnel or roles of any personnel transfers or terminations of external personnel who possess organizational credentials and/or badges or who have system privileges within an organization-defined time period." + }, + { + "name": "assessment-objective", + "id": "HRS-10_HRS-10_A07", + "prose": "provider compliance with personnel security requirements is monitored." + }, + { + "name": "overview", + "class": "errata", + "prose": "- renamed\r\n- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo07.06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ps-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ps-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ps-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ps-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ps-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ps-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ps-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ps-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:ps-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ps-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:nfo-ps-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.16.03.b" + } + ] + }, + { + "id": "HRS-11", + "title": "Separation of Duties (SoD)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "HRS-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to implement and maintain Separation of Duties (SoD) to prevent potential inappropriate activity without collusion." + }, + { + "name": "assessment-objective", + "id": "HRS-11_HRS-11_A01", + "prose": "the duties of individuals requiring separation to reduce the risk of malevolent activity are defined." + }, + { + "name": "assessment-objective", + "id": "HRS-11_HRS-11_A02", + "prose": "responsibilities for duties that require separation are assigned to separate individuals." + }, + { + "name": "assessment-objective", + "id": "HRS-11_HRS-11_A03", + "prose": "separate accounts for individuals whose duties and accesses must be separated to reduce the risk of malevolent activity or collusion are established" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:iam-04" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:user-2.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.18" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_6.1.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.18" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-1.3-003" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:pr.ac-p4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ac-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ac-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:ac-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ac-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ac-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ac-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:ac-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ac-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ac-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.1.4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.04.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.4-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.4-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.4-c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.04.a" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.aa-05" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.5.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.5.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.5.4" + } + ] + }, + { + "id": "HRS-12", + "title": "Incompatible Roles", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "HRS-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to avoid incompatible development-specific roles through limiting and reviewing developer privileges to change hardware, software and firmware components within a production/operational environment." + }, + { + "name": "assessment-objective", + "id": "HRS-12_HRS-11_A04", + "prose": "duties of individuals requiring separation are identified." + }, + { + "name": "assessment-objective", + "id": "HRS-12_HRS-12_A01", + "prose": "incompatible development-specific roles are prevented through limiting and reviewing developer privileges to change hardware, software and firmware components within a production/operational environment." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss06.03" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:cek-02" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_6.1.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.04.a" + } + ] + }, + { + "id": "HRS-12.1", + "title": "Two-Person Rule", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to enforce a two-person rule for implementing changes to sensitive Technology Assets, Applications and/or Services (TAAS)." + }, + { + "name": "assessment-objective", + "id": "HRS-12.1_HRS-12.1_A01", + "prose": "privileged commands and/or other actions requiring dual authorization are defined." + }, + { + "name": "assessment-objective", + "id": "HRS-12.1_HRS-12.1_A02", + "prose": "dual authorization is enforced for organization-defined privileged commands and/or other actions." + }, + { + "name": "assessment-objective", + "id": "HRS-12.1_HRS-12.1_A03", + "prose": "critical or sensitive system and organizational operations for which dual authorization is to be enforced are identified." + }, + { + "name": "assessment-objective", + "id": "HRS-12.1_HRS-12.1_A04", + "prose": "dual authorization is employed to execute critical or sensitive system and organizational operations." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ac-3-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-03-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ac-03-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-03-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:ac-03-02" + }, + { + "rel": "part-of", + "href": "#HRS-12" + } + ] + }, + { + "id": "HRS-13", + "title": "Identify Critical Skills & Gaps", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to evaluate the critical security, compliance and resilience skills needed to support the organization's mission and identify gaps that exist." + }, + { + "name": "assessment-objective", + "id": "HRS-13_HRS-13_A01", + "prose": "critical cybersecurity / data privacy skills needed to support the organization's mission are defined." + }, + { + "name": "assessment-objective", + "id": "HRS-13_HRS-13_A02", + "prose": "gaps / shortfalls in identified critical cybersecurity / data privacy skills needed to support the organization's mission are identified." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo01.08" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo07.03" + } + ] + }, + { + "id": "HRS-13.1", + "title": "Remediate Identified Skills Deficiencies", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to remediate critical skills deficiencies necessary to support the organization's mission and business functions." + }, + { + "name": "assessment-objective", + "id": "HRS-13.1_HRS-13.1_A01", + "prose": "a plan to remediate critical skills deficiencies necessary to support the organization's mission and business functions is defined." + }, + { + "name": "assessment-objective", + "id": "HRS-13.1_HRS-13.1_A02", + "prose": "a plan to remediate critical skills deficiencies necessary to support the organization's mission and business functions is implemented." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo01.08" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo07.03" + }, + { + "rel": "part-of", + "href": "#HRS-13" + } + ] + }, + { + "id": "HRS-13.2", + "title": "Identify Vital Security, Compliance & Resilience Staff", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to identify vital security, compliance and resilience staff." + }, + { + "name": "assessment-objective", + "id": "HRS-13.2_HRS-13.2_A01", + "prose": "vital cybersecurity / data privacy staff are identified." + }, + { + "name": "overview", + "class": "errata", + "prose": "- renamed\r\n- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo07.02" + }, + { + "rel": "part-of", + "href": "#HRS-13" + } + ] + }, + { + "id": "HRS-13.3", + "title": "Establish Redundancy for Vital Security, Compliance & Resilience Staff", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to establish redundancy for vital security, compliance and resilience staff." + }, + { + "name": "assessment-objective", + "id": "HRS-13.3_HRS-13.3_A01", + "prose": "redundancy for vital cybersecurity / data privacy staff is defined." + }, + { + "name": "assessment-objective", + "id": "HRS-13.3_HRS-13.3_A02", + "prose": "redundancy for vital cybersecurity / data privacy staff is implemented." + }, + { + "name": "overview", + "class": "errata", + "prose": "- renamed\r\n- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo07.03" + }, + { + "rel": "part-of", + "href": "#HRS-13" + } + ] + }, + { + "id": "HRS-13.4", + "title": "Perform Succession Planning", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to perform succession planning for vital security, compliance and resilience roles." + }, + { + "name": "assessment-objective", + "id": "HRS-13.4_HRS-13.4_A01", + "prose": "succession planning for vital cybersecurity / data privacy roles is performed." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo07.03" + }, + { + "rel": "part-of", + "href": "#HRS-13" + } + ] + }, + { + "id": "HRS-14", + "title": "Identifying Authorized Work Locations", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to identify and document authorized working locations, including:\r\n(1) Designated on-premises, organization-controlled work locations; and\r\n(2) Other off-premises locations not under organization-control (e.g., work from home)." + }, + { + "name": "assessment-objective", + "id": "HRS-14_HRS-14_A01", + "prose": "authorized working locations which are not on organization-controlled premises are defined." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + } + ] + }, + { + "id": "HRS-14.1", + "title": "Communicating Authorized Work Locations", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to communicate authorized work locations to organizational personnel." + }, + { + "name": "assessment-objective", + "id": "HRS-14.1_HRS-14.1_A01", + "prose": "authorized working locations are communicated to personnel." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#HRS-14" + } + ] + }, + { + "id": "HRS-15", + "title": "Reporting Suspicious Activities", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to enable personnel to report suspicious activities and/or behavior without fear of reprisal or other negative consequences (e.g., whistleblower protections)." + }, + { + "name": "assessment-objective", + "id": "HRS-15_HRS-15_A01", + "prose": "personnel are empowered to efficiently report suspicious activities and/or behavior without fear of recrimination." + }, + { + "name": "assessment-objective", + "id": "HRS-15_HRS-15_A02", + "prose": "personnel are provided with an anonymous means to report suspicious activities and/or behavior." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-2.1-005" + } + ] + } + ] + }, + { + "id": "identification-authentication", + "title": "Identification & Authentication", + "controls": [ + { + "id": "IAC-01", + "title": "Identity & Access Management (IAM)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IAC-01" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.33", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.34", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.35", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.36", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.37", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.38", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.39", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to facilitate the implementation of identification and access management controls." + }, + { + "name": "assessment-objective", + "id": "IAC-01_IAC-01_A01", + "prose": "a capability to govern logical identification and access management controls is implemented." + }, + { + "name": "assessment-objective", + "id": "IAC-01_IAC-01_A02", + "prose": "the Identity & Access Management (IAM) program is organization-wide." + }, + { + "name": "assessment-objective", + "id": "IAC-01_IAC-01_A03", + "prose": "Identity and Access Management (IAM) operations are conducted according to documented policies, standards, procedures and/or other organizational directives." + }, + { + "name": "assessment-objective", + "id": "IAC-01_IAC-01_A04", + "prose": "adequate resources (e.g., people, processes, technologies, data and/or facilities) are provided to support Identity and Access Management (IAM) operations." + }, + { + "name": "assessment-objective", + "id": "IAC-01_IAC-01_A05", + "prose": "responsibility and authority for the performance of Identity and Access Management (IAM)-related activities are assigned to designated personnel." + }, + { + "name": "assessment-objective", + "id": "IAC-01_IAC-01_A06", + "prose": "personnel performing Identity and Access Management (IAM)-related activities have the skills and knowledge needed to perform their assigned duties." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_4.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_5.0" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_5.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_6.0" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_6.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_4.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_4.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_5.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_6.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_4.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_5.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_6.6" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss06.03" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:iam-01" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:iam-02" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:iam-17" + }, + { + "rel": "mapped-to", + "href": "#iec-tr-60601-4-5-2021:_4.2" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:user-1.1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-1.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.15" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.18" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_9.1.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_9.1.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.15" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.16-a" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.18" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:pr.ac-p" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:pr.ac-p1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ac-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ia-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ia-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ac-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ia-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ac-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ia-01" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.308-a-3" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.308-a-4" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.310-a" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.312-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ia-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ac-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ia-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ac-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ia-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ac-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ia-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ac-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ia-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:ac-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:ia-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:ac-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:ac-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:ia-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ac-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ia-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ac-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ia-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.1.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:nfo-ac-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:nfo-ia-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.01.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.18.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.01.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.05.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.12.e" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-6" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.aa" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.aa-05" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a01-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a07-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_7.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_7.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_7.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_7.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_7.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_7.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_7.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.3.8" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:a3.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.3.8" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.3.8" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_7.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_7.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_7.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_7.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.3.8" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_7.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_7.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_7.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_7.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.3.8" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.6.1" + } + ] + }, + { + "id": "IAC-01.1", + "title": "Retain Access Records", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to retain a record of personnel accountability to ensure there is a record of all access granted to an individual (system and application-wise), who provided the authorization, when the authorization was granted and when the access was last reviewed." + }, + { + "name": "assessment-objective", + "id": "IAC-01.1_IAC-01.1_A01", + "prose": "a record of personnel accountability is retained to ensure there is a record of all access granted to an individual (system and application-wise)." + }, + { + "name": "assessment-objective", + "id": "IAC-01.1_IAC-01.1_A02", + "prose": "a record of personnel accountability is retained to ensure there is a record of who provided the authorization." + }, + { + "name": "assessment-objective", + "id": "IAC-01.1_IAC-01.1_A03", + "prose": "a record of personnel accountability is retained to ensure there is a record of when the authorization was granted and when the access was last reviewed." + }, + { + "name": "assessment-objective", + "id": "IAC-01.1_IAC-01.1_A04", + "prose": "a record of personnel accountability is retained to ensure there is a record of when the access was last reviewed." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#IAC-01" + } + ] + }, + { + "id": "IAC-01.2", + "title": "Authenticate, Authorize and Audit (AAA)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IAC-01.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to strictly govern the use of Authenticate, Authorize and Audit (AAA) solutions, both on-premises and those hosted by an External Service Provider (ESP)." + }, + { + "name": "assessment-objective", + "id": "IAC-01.2_IAC-01.2_A01", + "prose": "access to the system is authorized based on a valid access authorization." + }, + { + "name": "assessment-objective", + "id": "IAC-01.2_IAC-01.2_A02", + "prose": "system users are uniquely identified." + }, + { + "name": "assessment-objective", + "id": "IAC-01.2_IAC-01.2_A03", + "prose": "system users are authenticated." + }, + { + "name": "assessment-objective", + "id": "IAC-01.2_IAC-01.2_A04", + "prose": "an inventory of Authenticate, Authorize and Audit (AAA) solutions exists, including instances on-premises and hosted by an External Service Provider (ESP)." + }, + { + "name": "assessment-objective", + "id": "IAC-01.2_IAC-01.2_A05", + "prose": "procedures exist to govern on-premises Authenticate, Authorize and Audit (AAA) solutions by assigned stakeholders." + }, + { + "name": "assessment-objective", + "id": "IAC-01.2_IAC-01.2_A06", + "prose": "contracts with External Service Providers (ESPs) contain explicit governance requirements for ESP-controlled Authenticate, Authorize and Audit (AAA) solutions." + }, + { + "name": "assessment-objective", + "id": "IAC-01.2_IAC-01.2_A07", + "prose": "access to the system is authorized based on intended system usage." + }, + { + "name": "assessment-objective", + "id": "IAC-01.2_IAC-01.2_A08", + "prose": "each type of wireless access to the system is authorized prior to establishing such connections." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_5.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_6.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_12.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_5.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_6.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_12.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_5.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_6.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_12.5" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:cls-09" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:user-1.4" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:user-1.6" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:user-1.7" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-1.1-re-1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-1.5-h" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-1.5-i" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-1.5-j" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-1.5-k" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.16-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ia-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ia-04-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ia-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ia-04-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ia-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:ia-04-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ia-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ia-04-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ia-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ia-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ia-04-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ia-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ia-04-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ia-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:ia-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:ia-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ia-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ia-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.01.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.05.d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.07.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.07.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.07.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.07.d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.07.e" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.12.d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.12.f" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.07.05.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.01.d.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.01.d.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.16.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.05.01.a-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.05.01.a-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.5.2e" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-6" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.aa" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.aa-03" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.aa-04" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.aa-05" + }, + { + "rel": "part-of", + "href": "#IAC-01" + } + ] + }, + { + "id": "IAC-01.3", + "title": "User & Service Account Inventories", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IAC-01.3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.33", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.34", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.35", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.36", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.37", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.38", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.39", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to maintain a current list of authorized users and service accounts." + }, + { + "name": "assessment-objective", + "id": "IAC-01.3_IAC-01.3_A01", + "prose": "a current list of authorized users and services is maintained." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:iam-03" + }, + { + "rel": "part-of", + "href": "#IAC-01" + } + ] + }, + { + "id": "IAC-02", + "title": "Identification & Authentication for Organizational Users", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IAC-02" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to uniquely identify and centrally Authenticate, Authorize and Audit (AAA) organizational users and processes acting on behalf of organizational users." + }, + { + "name": "assessment-objective", + "id": "IAC-02_IAC-02_A01", + "prose": "system, application and service users are identified." + }, + { + "name": "assessment-objective", + "id": "IAC-02_IAC-02_A02", + "prose": "the identity of each user is authenticated or verified as a prerequisite to system access." + }, + { + "name": "assessment-objective", + "id": "IAC-02_IAC-02_A03", + "prose": "processes acting on behalf of users are associated with uniquely identified and authenticated system users." + }, + { + "name": "assessment-objective", + "id": "IAC-02_IAC-02_A04", + "prose": "the identity of each process acting on behalf of a user is authenticated or verified as a prerequisite to system access." + }, + { + "name": "assessment-objective", + "id": "IAC-02_IAC-02_A05", + "prose": "the identity of each device accessing or connecting to the system is authenticated or verified as a prerequisite to system access." + }, + { + "name": "assessment-objective", + "id": "IAC-02_IAC-02_A06", + "prose": "the unique identification of authenticated organizational users is associated with processes acting on behalf of those users." + }, + { + "name": "assessment-objective", + "id": "IAC-02_IAC-02_A07", + "prose": "devices accessing the system are identified." + }, + { + "name": "assessment-objective", + "id": "IAC-02_IAC-02_A08", + "prose": "individual identifiers are managed by uniquely identifying each individual as ." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_5.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_5.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_6.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_12.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_5.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_5.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_6.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_12.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_5.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_5.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_6.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_12.5" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:iam-13" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:user-1.1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-1.1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-1.1-re-1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-1.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.15" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_9.1.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.15" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:pr.ac-p6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ia-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ia-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ia-02" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.312-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ia-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ia-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ia-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ia-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ia-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:ia-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:ia-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:ia-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ia-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ia-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.1.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.5.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.5.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.01.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.05.d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.5.1-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.5.1-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.5.1-c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.5.2-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.5.2-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.5.2-c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.05.01.a-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.05.05.d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-3" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.aa-01" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.aa-03" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.aa-05" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_7.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_7.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_7.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_7.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_7.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_7.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_7.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.3.9" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_8.3.9" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.3.9" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.3.9" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_7.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_7.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_7.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_7.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.3.9" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_7.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_7.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_7.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_7.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.3.9" + } + ] + }, + { + "id": "IAC-02.1", + "title": "Group Authentication", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to require individuals to be authenticated with an individual authenticator when a group authenticator is utilized." + }, + { + "name": "assessment-objective", + "id": "IAC-02.1_IAC-02.1_A01", + "prose": "users are required to be individually authenticated before granting access to the shared accounts or resources when shared accounts or authenticators are employed." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ia-2-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ia-02-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:ia-02-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ia-02-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ia-02-05" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a07-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_8.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_8.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_8.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.2.2" + }, + { + "rel": "part-of", + "href": "#IAC-02" + } + ] + }, + { + "id": "IAC-02.2", + "title": "Replay-Resistant Authentication", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IAC-02.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to employ replay-resistant authentication." + }, + { + "name": "assessment-objective", + "id": "IAC-02.2_IAC-02.2_A01", + "prose": "replay-resistant authentication mechanisms for access to privileged accounts are implemented." + }, + { + "name": "assessment-objective", + "id": "IAC-02.2_IAC-02.2_A02", + "prose": "replay-resistant authentication mechanisms for access to non-privileged accounts are implemented." + }, + { + "name": "assessment-objective", + "id": "IAC-02.2_IAC-02.2_A03", + "prose": "replay resistance is implemented in the establishment of nonlocal maintenance and diagnostic sessions." + }, + { + "name": "assessment-objective", + "id": "IAC-02.2_IAC-02.2_A04", + "prose": "systems and system components to identify and authenticate are defined." + }, + { + "name": "assessment-objective", + "id": "IAC-02.2_IAC-02.2_A05", + "prose": "bidirectional authentication that is cryptographically-based is implemented." + }, + { + "name": "assessment-objective", + "id": "IAC-02.2_IAC-02.2_A06", + "prose": "bidirectional authentication that is replay-resistant is implemented." + }, + { + "name": "assessment-objective", + "id": "IAC-02.2_IAC-02.2_A07", + "prose": "systems and system components are identified and authenticated before establishing a network connection using bidirectional authentication that is cryptographically-based and replay- resistant." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ia-2-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ia-2-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ia-02-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ia-02-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ia-02-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ia-02-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ia-02-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ia-02-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.5.4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.07.05.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.5.4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.05.04-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.05.04-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.07.05.b-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.5.1e" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.aa-04" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a07-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.5.1" + }, + { + "rel": "part-of", + "href": "#IAC-02" + } + ] + }, + { + "id": "IAC-02.3", + "title": "Acceptance of PIV Credentials", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to accept and electronically verify organizational Personal Identity Verification (PIV) credentials." + }, + { + "name": "assessment-objective", + "id": "IAC-02.3_IAC-02.3_A01", + "prose": "Personal Identity Verification (PIV)-compliant credentials are accepted and electronically verified." + }, + { + "name": "assessment-objective", + "id": "IAC-02.3_IAC-02.3_A02", + "prose": "organizational controls for using federated or PKI credentials are defined." + }, + { + "name": "assessment-objective", + "id": "IAC-02.3_IAC-02.3_A03", + "prose": "federated or PKI credentials that meet policy are accepted." + }, + { + "name": "assessment-objective", + "id": "IAC-02.3_IAC-02.3_A04", + "prose": "federated or PKI credentials that meet policy are verified." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ia-2-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ia-8-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ia-02-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ia-08-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ia-02-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ia-02-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ia-08-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ia-02-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ia-02-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ia-02-12" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a07-2025" + }, + { + "rel": "part-of", + "href": "#IAC-02" + } + ] + }, + { + "id": "IAC-02.4", + "title": "Out-of-Band Authentication (OOBA)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to implement Out-of-Band Authentication (OOBA) under specific conditions." + }, + { + "name": "assessment-objective", + "id": "IAC-02.4_IAC-02.4_A01", + "prose": "out-of-band authentication mechanisms to be implemented are defined." + }, + { + "name": "assessment-objective", + "id": "IAC-02.4_IAC-02.4_A02", + "prose": "conditions under which out-of-band authentication is to be implemented are defined." + }, + { + "name": "assessment-objective", + "id": "IAC-02.4_IAC-02.4_A03", + "prose": "out-of-band authentication mechanisms are implemented under organization-defined conditions." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ia-2-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ia-02-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ia-02-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:ia-02-13" + }, + { + "rel": "part-of", + "href": "#IAC-02" + } + ] + }, + { + "id": "IAC-03", + "title": "Identification & Authentication for Non-Organizational Users", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IAC-03" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to uniquely identify and centrally Authenticate, Authorize and Audit (AAA) third-party users and processes that provide services to the organization." + }, + { + "name": "assessment-objective", + "id": "IAC-03_IAC-03_A01", + "prose": "non-organizational users or processes acting on behalf of non-organizational users are uniquely identified and authenticated." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_12.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_12.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_12.5" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:iam-11" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:iam-13" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:user-1.1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-1.1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-1.1-re-1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-1.1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-1.1-1" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.16" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.16" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:pr.ac-p6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ia-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ia-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ia-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ia-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ia-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ia-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ia-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ia-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:ia-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ia-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ia-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.01.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-4" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.aa-01" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.aa-03" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.aa-05" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a07-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_7.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_7.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_7.2.1" + } + ] + }, + { + "id": "IAC-03.1", + "title": "Acceptance of PIV Credentials from Other Organizations", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to accept and electronically verify Personal Identity Verification (PIV) credentials from third-parties." + }, + { + "name": "assessment-objective", + "id": "IAC-03.1_IAC-03.1_A01", + "prose": "Personal Identity Verification (PIV)-compliant credentials from other federal agencies are accepted." + }, + { + "name": "assessment-objective", + "id": "IAC-03.1_IAC-03.1_A02", + "prose": "Personal Identity Verification (PIV)-compliant credentials from other federal agencies are electronically verified." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ia-8-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ia-08-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ia-08-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ia-08-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ia-08-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ia-08-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ia-08-01" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a07-2025" + }, + { + "rel": "part-of", + "href": "#IAC-03" + } + ] + }, + { + "id": "IAC-03.2", + "title": "Acceptance of Third-Party Credentials", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to accept Federal Identity, Credential and Access Management (FICAM)-approved third-party credentials." + }, + { + "name": "assessment-objective", + "id": "IAC-03.2_IAC-03.2_A01", + "prose": "only external authenticators that are NIST-compliant are accepted." + }, + { + "name": "assessment-objective", + "id": "IAC-03.2_IAC-03.2_A02", + "prose": "a list of accepted external authenticators is documented." + }, + { + "name": "assessment-objective", + "id": "IAC-03.2_IAC-03.2_A03", + "prose": "a list of accepted external authenticators is maintained." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ia-8-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ia-08-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ia-08-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ia-08-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ia-08-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ia-08-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ia-08-02" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a07-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.2.3" + }, + { + "rel": "part-of", + "href": "#IAC-03" + } + ] + }, + { + "id": "IAC-03.3", + "title": "Use of FICAM-Issued Profiles", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to conform systems to Federal Identity, Credential and Access Management (FICAM)-issued profiles." + }, + { + "name": "assessment-objective", + "id": "IAC-03.3_IAC-03.3_A01", + "prose": "identity management profiles are defined." + }, + { + "name": "assessment-objective", + "id": "IAC-03.3_IAC-03.3_A02", + "prose": "there is conformance with identity management profiles for identity management." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ia-8-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ia-08-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ia-08-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ia-08-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ia-08-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ia-08-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ia-08-04" + }, + { + "rel": "part-of", + "href": "#IAC-03" + } + ] + }, + { + "id": "IAC-03.4", + "title": "Disassociability", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to disassociate user attributes or credential assertion relationships among individuals, credential service providers and relying parties." + }, + { + "name": "assessment-objective", + "id": "IAC-03.4_IAC-03.4_A01", + "prose": "disassociability measures are defined." + }, + { + "name": "assessment-objective", + "id": "IAC-03.4_IAC-03.4_A02", + "prose": "measures to disassociate user attributes or identifier assertion relationships among individuals, credential service providers and relying parties are implemented." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ia-08-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ia-08-06" + }, + { + "rel": "part-of", + "href": "#IAC-03" + } + ] + }, + { + "id": "IAC-03.5", + "title": "Acceptance of External Authenticators", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IAC-03.5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to restrict the use of external authenticators to those that are National Institute of Standards and Technology (NIST)-compliant and maintain a list of accepted external authenticators." + }, + { + "name": "assessment-objective", + "id": "IAC-03.5_IAC-03.5_A01", + "prose": "the use of external authenticators is restricted to those that are National Institute of Standards and Technology (NIST)-compliant and maintain a list of accepted external authenticators." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ia-8-3" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.aa-04" + }, + { + "rel": "part-of", + "href": "#IAC-03" + } + ] + }, + { + "id": "IAC-04", + "title": "Identification & Authentication for Devices", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IAC-04" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to uniquely identify and centrally Authenticate, Authorize and Audit (AAA) devices before establishing a connection using bidirectional authentication that is cryptographically- based and replay resistant." + }, + { + "name": "assessment-objective", + "id": "IAC-04_IAC-04_A01", + "prose": "devices or types of devices to be uniquely identified and authenticated before establishing a connection are defined." + }, + { + "name": "assessment-objective", + "id": "IAC-04_IAC-04_A02", + "prose": "organization-defined devices or types of devices are authenticated before establishing a system connection." + }, + { + "name": "assessment-objective", + "id": "IAC-04_IAC-04_A03", + "prose": "devices and/or types of devices are uniquely identified and authenticated before establishing a local connection." + }, + { + "name": "assessment-objective", + "id": "IAC-04_IAC-04_A04", + "prose": "devices and/or types of devices are uniquely identified and authenticated before establishing a remote connection." + }, + { + "name": "assessment-objective", + "id": "IAC-04_IAC-04_A05", + "prose": "device identification and authentication are handled based on attestation by configuration management process." + }, + { + "name": "assessment-objective", + "id": "IAC-04_IAC-04_A06", + "prose": "devices and/or types of devices requiring use of cryptographically based, bidirectional authentication to authenticate before establishing one or more connections are defined." + }, + { + "name": "assessment-objective", + "id": "IAC-04_IAC-04_A07", + "prose": "devices and/or types of devices are authenticated before establishing a local connection using bidirectional authentication that is cryptographically based." + }, + { + "name": "assessment-objective", + "id": "IAC-04_IAC-04_A08", + "prose": "devices and/or types of devices are authenticated before establishing a remote connection using bidirectional authentication that is cryptographically based." + }, + { + "name": "assessment-objective", + "id": "IAC-04_IAC-04_A09", + "prose": "devices and/or types of devices are authenticated before establishing a network connection using bidirectional authentication that is cryptographically based." + }, + { + "name": "assessment-objective", + "id": "IAC-04_IAC-04_A10", + "prose": " are uniquely identified before establishing a system connection." + }, + { + "name": "assessment-objective", + "id": "IAC-04_IAC-04_A11", + "prose": " are authenticated before establishing a system connection." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_12.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_12.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_12.5" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dcs-09" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:iam-13" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:iam-17" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:user-1.1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:user-1.19" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-1.2" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-1.2-re-1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-1.2" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-1.2-1" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.16" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.16" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:pr.ac-p6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ia-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ia-3-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ia-3-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ia-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ia-03-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ia-03-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ia-03-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:ia-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ia-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ia-03-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ia-03-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ia-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ia-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ia-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:ia-03-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ia-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:ia-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ia-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ia-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.5.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.5.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.18.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.05.02.odp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.05.02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.05.02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.5.1e" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-4" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.aa-01" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.aa-03" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.aa-05" + } + ] + }, + { + "id": "IAC-04.1", + "title": "Device Attestation", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure device identification and authentication is accurate by centrally-managing the joining of systems to the domain as part of the initial asset configuration management process." + }, + { + "name": "assessment-objective", + "id": "IAC-04.1_IAC-04.1_A01", + "prose": "configuration management process to be employed to handle device identification and authentication based on attestation is defined." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ia-3-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ia-03-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ia-03-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ia-03-04" + }, + { + "rel": "part-of", + "href": "#IAC-04" + } + ] + }, + { + "id": "IAC-04.2", + "title": "Device Authorization Enforcement", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to enforce cryptographic communications keys to prevent one key from being used to access multiple devices." + }, + { + "name": "assessment-objective", + "id": "IAC-04.2_IAC-04.2_A01", + "prose": "unique device cryptographic communications keys are used to prevent one key from being used to access multiple devices." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iec-tr-60601-4-5-2021:_5.2-cr-1.2-re-1" + }, + { + "rel": "part-of", + "href": "#IAC-04" + } + ] + }, + { + "id": "IAC-05", + "title": "Identification & Authentication for Third-Party Technology Assets, Applications and/or Ser", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IAC-05" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to identify and authenticate third-party Technology Assets, Applications and/or Services (TAAS)." + }, + { + "name": "assessment-objective", + "id": "IAC-05_IAC-05_A01", + "prose": "system services and applications to be uniquely identified and authenticated are defined." + }, + { + "name": "assessment-objective", + "id": "IAC-05_IAC-05_A02", + "prose": "system services and applications are uniquely identified and authenticated before establishing communications with devices, users or other services or applications." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_5.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_5.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_5.5" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:iam-13" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:user-1.1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:user-1.6" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-1.2" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-1.2-re-1" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.16" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.16" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ia-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ia-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ia-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ia-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:ia-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ia-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ia-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.01.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-4" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.aa-01" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.aa-03" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.aa-05" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.2.3" + } + ] + }, + { + "id": "IAC-05.1", + "title": "Sharing Identification & Authentication Information", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure external service providers provide current and accurate information for any third-party user with access to the organization's data or assets." + }, + { + "name": "assessment-objective", + "id": "IAC-05.1_IAC-05.1_A01", + "prose": "third-party service providers provide the organization with current and accurate information for any third-party user with access to the organization's data or assets." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ia-9-1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.6.1" + }, + { + "rel": "part-of", + "href": "#IAC-05" + } + ] + }, + { + "id": "IAC-05.2", + "title": "Privileged Access by Non-Organizational Users", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IAC-05.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to prohibit privileged access by non-organizational users." + }, + { + "name": "assessment-objective", + "id": "IAC-05.2_IAC-05.2_A01", + "prose": "privileged access by non-organizational users is prohibited." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-06-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-06-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:ac-06-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ac-6-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ac-6-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ac-6-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.07.05.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-4" + }, + { + "rel": "part-of", + "href": "#IAC-05" + } + ] + }, + { + "id": "IAC-06", + "title": "Multi-Factor Authentication (MFA)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IAC-06" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management", + "value": "3.5.3.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to enforce Multi-Factor Authentication (MFA) for:\r\n(1) Remote network access; \r\n(2) Third-party Technology Assets, Applications and/or Services (TAAS); and/ or\r\n(3) Non-console access to critical TAAS that store, transmit and/or process sensitive/regulated data." + }, + { + "name": "assessment-objective", + "id": "IAC-06_IAC-06_A01", + "prose": "multi-factor authentication for access to privileged accounts is implemented." + }, + { + "name": "assessment-objective", + "id": "IAC-06_IAC-06_A02", + "prose": "multi-factor authentication for access to non-privileged accounts is implemented." + }, + { + "name": "assessment-objective", + "id": "IAC-06_IAC-06_A03", + "prose": "system components that are known, authenticated, in a properly configured state or in a trust profile are identified." + }, + { + "name": "assessment-objective", + "id": "IAC-06_IAC-06_A04", + "prose": "automated or manual/procedural mechanisms to prohibit system components from connecting to organizational systems are identified." + }, + { + "name": "assessment-objective", + "id": "IAC-06_IAC-06_A05", + "prose": "automated or manual/procedural mechanisms are employed to prohibit system components from connecting to organizational systems unless the components are known, authenticated, in a properly configured state or in a trust profile." + }, + { + "name": "assessment-objective", + "id": "IAC-06_IAC-06_A06", + "prose": "multi-factor authentication is implemented in the establishment of nonlocal maintenance and diagnostic sessions." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_6.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_6.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_6.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_6.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_6.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_6.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_6.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_6.4" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:iam-13" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:cls-11" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:user-1.9" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-1.1-re-2" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-1.1-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ia-2-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ia-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ia-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ia-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ia-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ia-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ia-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ia-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ia-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ia-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ia-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ia-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ia-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ia-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ia-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.5.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.7.5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.07.05.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.05.03-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.05.03-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.07.05.b-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-6" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a07-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_8.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.5.1" + } + ] + }, + { + "id": "IAC-06.1", + "title": "Network Access to Privileged Accounts", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IAC-06.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to utilize Multi-Factor Authentication (MFA) to authenticate network access for privileged accounts." + }, + { + "name": "assessment-objective", + "id": "IAC-06.1_IAC-06.1_A01", + "prose": "privileged accounts are identified." + }, + { + "name": "assessment-objective", + "id": "IAC-06.1_IAC-06.1_A02", + "prose": "multifactor authentication is implemented for network access to privileged accounts." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_6.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_6.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_6.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_6.5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ia-2-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ia-2-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ia-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ia-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ia-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ia-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ia-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ia-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ia-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ia-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ia-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ia-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ia-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ia-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ia-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ia-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.5.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.5.3-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.5.3-c" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a07-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_8.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_8.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.4.3" + }, + { + "rel": "part-of", + "href": "#IAC-06" + } + ] + }, + { + "id": "IAC-06.2", + "title": "Network Access to Non-Privileged Accounts", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IAC-06.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to utilize Multi-Factor Authentication (MFA) to authenticate network access for non-privileged accounts." + }, + { + "name": "assessment-objective", + "id": "IAC-06.2_IAC-06.2_A01", + "prose": "multifactor authentication is implemented for network access to non-privileged accounts." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ia-2-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ia-2-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ia-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ia-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ia-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ia-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ia-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ia-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ia-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ia-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ia-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ia-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ia-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ia-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ia-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ia-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.5.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.5.3-d" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a07-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_8.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.4.3" + }, + { + "rel": "part-of", + "href": "#IAC-06" + } + ] + }, + { + "id": "IAC-06.3", + "title": "Local Access to Privileged Accounts", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IAC-06.3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to utilize Multi-Factor Authentication (MFA) to authenticate local access for privileged accounts." + }, + { + "name": "assessment-objective", + "id": "IAC-06.3_IAC-06.3_A01", + "prose": "privileged accounts are identified." + }, + { + "name": "assessment-objective", + "id": "IAC-06.3_IAC-06.3_A02", + "prose": "multifactor authentication is implemented for local access to privileged accounts." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ia-2-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ia-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ia-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ia-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ia-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ia-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ia-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ia-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ia-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ia-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ia-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ia-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ia-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ia-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ia-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.5.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.5.3-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.5.3-b" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a07-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.4.2" + }, + { + "rel": "part-of", + "href": "#IAC-06" + } + ] + }, + { + "id": "IAC-06.4", + "title": "Out-of-Band Multi-Factor Authentication", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to implement Multi-Factor Authentication (MFA) for access to privileged and non-privileged accounts such that one of the factors is independently provided by a device separate from the system being accessed." + }, + { + "name": "assessment-objective", + "id": "IAC-06.4_IAC-06.4_A01", + "prose": "multi-factor authentication for access to privileged accounts is implemented." + }, + { + "name": "assessment-objective", + "id": "IAC-06.4_IAC-06.4_A02", + "prose": "multi-factor authentication for access to non-privileged accounts is implemented." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ia-2-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ia-2-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ia-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ia-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ia-02-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ia-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ia-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ia-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ia-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ia-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ia-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ia-02-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ia-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ia-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ia-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ia-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ia-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ia-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:ia-02-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.05.03-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.05.03-02" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.4.2" + }, + { + "rel": "part-of", + "href": "#IAC-06" + } + ] + }, + { + "id": "IAC-06.5", + "title": "Alternative Multi-Factor Authentication", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to enable alternative Multi-Factor Authentication (MFA) tokens when the primary MFA solution is not able to be used." + }, + { + "name": "assessment-objective", + "id": "IAC-06.5_IAC-06.5_A01", + "prose": "alternative Multi-Factor Authentication (MFA) tokens can be used when the primary MFA solution is inoperable." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#IAC-06" + } + ] + }, + { + "id": "IAC-07", + "title": "User Provisioning & De-Provisioning", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IAC-07" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to utilize a formal user registration and de-registration process that governs the assignment of access rights." + }, + { + "name": "assessment-objective", + "id": "IAC-07_IAC-07_A01", + "prose": "the validation and verification of identity evidence is conducted in person before a designated registration authority." + }, + { + "name": "assessment-objective", + "id": "IAC-07_IAC-07_A02", + "prose": "authorization is received from organizational personnel or roles to assign an individual, group, role, service, or device identifier." + }, + { + "name": "assessment-objective", + "id": "IAC-07_IAC-07_A03", + "prose": "system accounts are created in accordance with organizational policy, procedures, prerequisites, and criteria." + }, + { + "name": "assessment-objective", + "id": "IAC-07_IAC-07_A04", + "prose": "system accounts are enabled in accordance with organizational policy, procedures, prerequisites, and criteria." + }, + { + "name": "assessment-objective", + "id": "IAC-07_IAC-07_A05", + "prose": "system accounts are modified in accordance with organizational policy, procedures, prerequisites, and criteria." + }, + { + "name": "assessment-objective", + "id": "IAC-07_IAC-07_A06", + "prose": "system accounts are disabled in accordance with organizational policy, procedures, prerequisites, and criteria." + }, + { + "name": "assessment-objective", + "id": "IAC-07_IAC-07_A07", + "prose": "system accounts are removed in accordance with organizational policy, procedures, prerequisites, and criteria." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_6.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_6.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_6.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_6.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_6.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_6.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_6.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_6.2" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:iam-06" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:iam-07" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:iam-08" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:user-1.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.16" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.18" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_9.2.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_9.2.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.16" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ia-5-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ia-12-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ia-12-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:ia-12-04" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.308-a-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ia-12-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ia-12-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.01.g.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.01.g.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.01.g.03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.05.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.09.02.a.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.09.02.a.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.01.b-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.01.b-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.01.b-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.01.b-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.01.b-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.05.05.a" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a01-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_7.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.3.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_8.3.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_7.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.3.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_7.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.3.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_8.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_7.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.3.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_7.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.3.5" + } + ] + }, + { + "id": "IAC-07.1", + "title": "Change of Roles & Duties", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IAC-07.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to revoke user access rights following changes in personnel roles and duties, if no longer necessary or permitted." + }, + { + "name": "assessment-objective", + "id": "IAC-07.1_IAC-07.1_A01", + "prose": "user access rights are revoked following changes in personnel roles and duties, if no longer necessary or permitted." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss06.03" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:iam-07" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.18" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_9.2.5" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.18" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.308-a-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.01.g.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.01.g.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.01.g.03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.05.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.09.02.b.02" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a01-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_7.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_8.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_7.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_7.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_8.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_8.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_7.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_7.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.2.5" + }, + { + "rel": "part-of", + "href": "#IAC-07" + } + ] + }, + { + "id": "IAC-07.2", + "title": "Termination of Employment", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IAC-07.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to revoke user access rights in a timely manner, upon termination of employment or contract." + }, + { + "name": "assessment-objective", + "id": "IAC-07.2_IAC-07.2_A01", + "prose": "prerequisites and criteria for group and role membership are defined." + }, + { + "name": "assessment-objective", + "id": "IAC-07.2_IAC-07.2_A02", + "prose": "criteria for account creation, enabling, modification, disabling and removal are defined." + }, + { + "name": "assessment-objective", + "id": "IAC-07.2_IAC-07.2_A03", + "prose": "personnel or roles required to approve requests to create accounts is/are defined." + }, + { + "name": "assessment-objective", + "id": "IAC-07.2_IAC-07.2_A04", + "prose": "account managers are assigned." + }, + { + "name": "assessment-objective", + "id": "IAC-07.2_IAC-07.2_A05", + "prose": "attributes (as required) for each account are defined." + }, + { + "name": "assessment-objective", + "id": "IAC-07.2_IAC-07.2_A06", + "prose": "personnel or roles to be notified is/are defined." + }, + { + "name": "assessment-objective", + "id": "IAC-07.2_IAC-07.2_A07", + "prose": "time period within which to notify account managers when accounts are no longer required is defined." + }, + { + "name": "assessment-objective", + "id": "IAC-07.2_IAC-07.2_A08", + "prose": "time period within which to notify account managers when users are terminated or transferred is defined." + }, + { + "name": "assessment-objective", + "id": "IAC-07.2_IAC-07.2_A09", + "prose": "time period within which to notify account managers when system usage or the need to know changes for an individual is defined." + }, + { + "name": "assessment-objective", + "id": "IAC-07.2_IAC-07.2_A10", + "prose": "attributes needed to authorize system access (as required) are defined." + }, + { + "name": "assessment-objective", + "id": "IAC-07.2_IAC-07.2_A11", + "prose": "the frequency of account review is defined." + }, + { + "name": "assessment-objective", + "id": "IAC-07.2_IAC-07.2_A12", + "prose": "account types allowed for use within the system are defined and documented." + }, + { + "name": "assessment-objective", + "id": "IAC-07.2_IAC-07.2_A13", + "prose": "account types specifically prohibited for use within the system are defined and documented." + }, + { + "name": "assessment-objective", + "id": "IAC-07.2_IAC-07.2_A14", + "prose": "prerequisites and criteria for group and role membership are required." + }, + { + "name": "assessment-objective", + "id": "IAC-07.2_IAC-07.2_A15", + "prose": "authorized users of the system are specified." + }, + { + "name": "assessment-objective", + "id": "IAC-07.2_IAC-07.2_A16", + "prose": "group and role memberships are specified." + }, + { + "name": "assessment-objective", + "id": "IAC-07.2_IAC-07.2_A17", + "prose": "access authorizations (i.e., privileges) for each account are specified." + }, + { + "name": "assessment-objective", + "id": "IAC-07.2_IAC-07.2_A18", + "prose": "attributes (as required) are specified for each account." + }, + { + "name": "assessment-objective", + "id": "IAC-07.2_IAC-07.2_A19", + "prose": "approvals are required by personnel or roles for requests to create accounts." + }, + { + "name": "assessment-objective", + "id": "IAC-07.2_IAC-07.2_A20", + "prose": "accounts are created in accordance with policy, procedures, prerequisites and criteria." + }, + { + "name": "assessment-objective", + "id": "IAC-07.2_IAC-07.2_A21", + "prose": "accounts are enabled in accordance with policy, procedures, prerequisites and criteria." + }, + { + "name": "assessment-objective", + "id": "IAC-07.2_IAC-07.2_A22", + "prose": "accounts are modified in accordance with policy, procedures, prerequisites and criteria." + }, + { + "name": "assessment-objective", + "id": "IAC-07.2_IAC-07.2_A23", + "prose": "accounts are disabled in accordance with policy, procedures, prerequisites and criteria." + }, + { + "name": "assessment-objective", + "id": "IAC-07.2_IAC-07.2_A24", + "prose": "accounts are removed in accordance with policy, procedures, prerequisites and criteria." + }, + { + "name": "assessment-objective", + "id": "IAC-07.2_IAC-07.2_A25", + "prose": "the use of accounts is monitored." + }, + { + "name": "assessment-objective", + "id": "IAC-07.2_IAC-07.2_A26", + "prose": "account managers and personnel or roles are notified within an organization-defined time period when accounts are no longer required." + }, + { + "name": "assessment-objective", + "id": "IAC-07.2_IAC-07.2_A27", + "prose": "account managers and personnel or roles are notified within an organization-defined time period when users are terminated or transferred." + }, + { + "name": "assessment-objective", + "id": "IAC-07.2_IAC-07.2_A28", + "prose": "account managers and personnel or roles are notified within an organization-defined time period when system usage or the need to know changes for an individual." + }, + { + "name": "assessment-objective", + "id": "IAC-07.2_IAC-07.2_A29", + "prose": "access to the system is authorized based on a valid access authorization." + }, + { + "name": "assessment-objective", + "id": "IAC-07.2_IAC-07.2_A30", + "prose": "access to the system is authorized based on intended system usage." + }, + { + "name": "assessment-objective", + "id": "IAC-07.2_IAC-07.2_A31", + "prose": "access to the system is authorized based on attributes (as required)." + }, + { + "name": "assessment-objective", + "id": "IAC-07.2_IAC-07.2_A32", + "prose": "accounts are reviewed for compliance with account management requirements frequency." + }, + { + "name": "assessment-objective", + "id": "IAC-07.2_IAC-07.2_A33", + "prose": "a process is established for changing shared or group account authenticators (if deployed) when individuals are removed from the group." + }, + { + "name": "assessment-objective", + "id": "IAC-07.2_IAC-07.2_A34", + "prose": "a process is implemented for changing shared or group account authenticators (if deployed) when individuals are removed from the group." + }, + { + "name": "assessment-objective", + "id": "IAC-07.2_IAC-07.2_A35", + "prose": "account management processes are aligned with personnel termination processes." + }, + { + "name": "assessment-objective", + "id": "IAC-07.2_IAC-07.2_A36", + "prose": "account management processes are aligned with personnel transfer processes." + }, + { + "name": "assessment-objective", + "id": "IAC-07.2_IAC-07.2_A37", + "prose": "privileged user accounts are established and administered in accordance with organization-defined criteria." + }, + { + "name": "assessment-objective", + "id": "IAC-07.2_IAC-07.2_A38", + "prose": "privileged role or attribute assignments are monitored." + }, + { + "name": "assessment-objective", + "id": "IAC-07.2_IAC-07.2_A39", + "prose": "changes to roles or attributes are monitored." + }, + { + "name": "assessment-objective", + "id": "IAC-07.2_IAC-07.2_A40", + "prose": "access is revoked when privileged role or attribute assignments are no longer appropriate." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:iam-07" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.18" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_9.2.5" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ac-2-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ac-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ac-02" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.308-a-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ac-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ac-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ac-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ac-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:ac-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:ac-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ac-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ac-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.09.02.a.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.09.02.a.02" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a01-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_8.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_8.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_8.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.2.5" + }, + { + "rel": "part-of", + "href": "#IAC-07" + } + ] + }, + { + "id": "IAC-08", + "title": "Role-Based Access Control (RBAC)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IAC-08" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to enforce Role-Based Access Control (RBAC) for Technology Assets, Applications, Services and/or Data (TAASD) to restrict access to individuals assigned specific roles with legitimate business needs." + }, + { + "name": "assessment-objective", + "id": "IAC-08_IAC-08_A01", + "prose": "the organization implements a role-based access scheme or an attribute-based access scheme." + }, + { + "name": "assessment-objective", + "id": "IAC-08_IAC-08_A02", + "prose": "privileged user accounts are established and administered in accordance with organization-defined parameters." + }, + { + "name": "assessment-objective", + "id": "IAC-08_IAC-08_A03", + "prose": "access to sensitive / regulated data requiring special protection is granted only to individuals who have a valid access authorization that is demonstrated by assigned duties." + }, + { + "name": "assessment-objective", + "id": "IAC-08_IAC-08_A04", + "prose": "access to sensitive / regulated data requiring special protection is granted only to individuals who satisfy associated personnel security criteria." + }, + { + "name": "assessment-objective", + "id": "IAC-08_IAC-08_A05", + "prose": "access to sensitive / regulated data requiring special protection is granted only to individuals who have read, understood and signed a non-disclosure agreement." + }, + { + "name": "assessment-objective", + "id": "IAC-08_IAC-08_A06", + "prose": "privileged role or attribute assignments are monitored." + }, + { + "name": "assessment-objective", + "id": "IAC-08_IAC-08_A07", + "prose": "changes to roles or attributes are monitored." + }, + { + "name": "assessment-objective", + "id": "IAC-08_IAC-08_A08", + "prose": "access is revoked when privileged role or attribute assignments are no longer appropriate." + }, + { + "name": "assessment-objective", + "id": "IAC-08_IAC-08_A09", + "prose": "security functions for authorized access are defined." + }, + { + "name": "assessment-objective", + "id": "IAC-08_IAC-08_A10", + "prose": "security-relevant information for authorized access is defined." + }, + { + "name": "assessment-objective", + "id": "IAC-08_IAC-08_A11", + "prose": "access to is authorized." + }, + { + "name": "assessment-objective", + "id": "IAC-08_IAC-08_A12", + "prose": "access to is authorized." + }, + { + "name": "assessment-objective", + "id": "IAC-08_IAC-08_A13", + "prose": "logical access restrictions associated with changes to the system are defined and documented." + }, + { + "name": "assessment-objective", + "id": "IAC-08_IAC-08_A14", + "prose": "the incident response plan is protected from unauthorized disclosure." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_3.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_6.0" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_6.8" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_3.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_3.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_3.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_6.8" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss05.04" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:iam-09" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:iam-10" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:iam-16" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:mon-04" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:user-1.5" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-2.1-re-2" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-2.1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-2.1-1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-2.1-2" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.15" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_9.1.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_9.1.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.15" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ac-2-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-02-07" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.308-a-3" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.308-a-4" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.312-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-02-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.1.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.1.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.1.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.01.c.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.01.c.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.01.c.03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.05.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.06.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.12.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.03.08.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.06.05.d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.07.06.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.3-c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.01.c.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.01.c.03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.05.odp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.05.odp-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.05.b-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.05.b-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.04.05-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.06.05.d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.1.2e" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-4" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.aa-05" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a01-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_7.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_7.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_7.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_7.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_7.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_7.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_7.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_7.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_7.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_7.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_7.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_7.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_7.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_7.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_7.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_7.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_7.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_7.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_7.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_7.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_7.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_7.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_7.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_7.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_7.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_7.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_7.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_7.3.3" + } + ] + }, + { + "id": "IAC-09", + "title": "Identifier Management (User Names)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IAC-09" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to govern naming standards for usernames and Technology Assets, Applications and/or Services (TAAS)." + }, + { + "name": "assessment-objective", + "id": "IAC-09_IAC-09_A01", + "prose": "personnel or roles from whom authorization must be received to assign an identifier are defined." + }, + { + "name": "assessment-objective", + "id": "IAC-09_IAC-09_A02", + "prose": "system identifiers are managed by receiving authorization from personnel or roles to assign to an individual, group, role or device identifier." + }, + { + "name": "assessment-objective", + "id": "IAC-09_IAC-09_A03", + "prose": "the time period for preventing the reuse of identifiers is defined." + }, + { + "name": "assessment-objective", + "id": "IAC-09_IAC-09_A04", + "prose": "the reuse of identifiers for an organization-defined time period is prevented." + }, + { + "name": "assessment-objective", + "id": "IAC-09_IAC-09_A05", + "prose": "an identifier that identifies an individual, group, role, service, or device is selected." + }, + { + "name": "assessment-objective", + "id": "IAC-09_IAC-09_A06", + "prose": "an identifier that identifies an individual, group, role, service, or device is assigned." + }, + { + "name": "assessment-objective", + "id": "IAC-09_IAC-09_A07", + "prose": "the reuse of identifiers for is prevented." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_5.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_5.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_5.6" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:iam-12" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-1.4" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-1.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.16" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.16" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ia-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ia-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ia-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ia-04" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.312-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ia-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ia-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ia-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ia-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ia-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:ia-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:ia-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ia-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ia-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.5.5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.05.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.05.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.05.d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.5.5-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.5.5-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.05.05.odp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.05.05.b-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.05.05.b-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.05.05.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-4" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a01-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a07-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_8.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_8.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.2.1" + } + ] + }, + { + "id": "IAC-09.1", + "title": "User Identity (ID) Management", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IAC-09.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure proper user identification management for non-consumer users and administrators." + }, + { + "name": "assessment-objective", + "id": "IAC-09.1_IAC-09.1_A01", + "prose": "characteristics used to identify individual status is defined." + }, + { + "name": "assessment-objective", + "id": "IAC-09.1_IAC-09.1_A02", + "prose": "individual identifiers are managed by uniquely identifying each individual as characteristics." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-1.4" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-1.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.16" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.16" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ia-4-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ia-04-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ia-04-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:ia-04-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ia-04-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ia-04-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ia-04-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.05.b" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a01-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_8.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_8.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.2.1" + }, + { + "rel": "part-of", + "href": "#IAC-09" + } + ] + }, + { + "id": "IAC-09.2", + "title": "Identity User Status", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IAC-09.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to identify contractors and other third-party users through unique username characteristics." + }, + { + "name": "assessment-objective", + "id": "IAC-09.2_IAC-09.2_A01", + "prose": "characteristic used to identify individual status are defined." + }, + { + "name": "assessment-objective", + "id": "IAC-09.2_IAC-09.2_A02", + "prose": "individual identifiers are managed by uniquely identifying each individual per an organization-defined characteristic." + }, + { + "name": "assessment-objective", + "id": "IAC-09.2_IAC-09.2_A03", + "prose": "individual identifiers are managed by uniquely identifying each individual as ." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ia-4-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ia-04-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ia-04-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:ia-04-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ia-04-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ia-04-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ia-04-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.05.d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.05.05.odp-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.05.05.d" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a01-2025" + }, + { + "rel": "part-of", + "href": "#IAC-09" + } + ] + }, + { + "id": "IAC-09.3", + "title": "Dynamic Management", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to dynamically manage usernames and system identifiers." + }, + { + "name": "assessment-objective", + "id": "IAC-09.3_IAC-09.3_A01", + "prose": "individual identifiers are dynamically managed in accordance with dynamic identifier policy." + }, + { + "name": "assessment-objective", + "id": "IAC-09.3_IAC-09.3_A02", + "prose": "rules for dynamically binding identities and authenticators are defined." + }, + { + "name": "assessment-objective", + "id": "IAC-09.3_IAC-09.3_A03", + "prose": "identities and authenticators are dynamically bound using organization-defined binding rules." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ia-4-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ia-5-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ia-5-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ia-04-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ia-05-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ia-04-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ia-05-10" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a01-2025" + }, + { + "rel": "part-of", + "href": "#IAC-09" + } + ] + }, + { + "id": "IAC-09.4", + "title": "Cross-Organization Management", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to coordinate username identifiers with external organizations for cross-organization management of identifiers." + }, + { + "name": "assessment-objective", + "id": "IAC-09.4_IAC-09.4_A01", + "prose": "external organizations with whom to coordinate the cross-organization management of identifiers are defined." + }, + { + "name": "assessment-objective", + "id": "IAC-09.4_IAC-09.4_A02", + "prose": "cross-organization management of identifiers is coordinated with external organizations." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.16" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.16" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ia-4-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ia-04-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ia-04-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ia-4-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:ia-4-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ia-4-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ia-4-6" + }, + { + "rel": "part-of", + "href": "#IAC-09" + } + ] + }, + { + "id": "IAC-09.5", + "title": "Privileged Account Identifiers", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IAC-09.5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to uniquely manage privileged accounts to identify the account as a privileged user or service." + }, + { + "name": "assessment-objective", + "id": "IAC-09.5_IAC-09.5_A01", + "prose": "security controls implemented to manage the risk of compromise due to individuals having accounts on multiple systems are defined." + }, + { + "name": "assessment-objective", + "id": "IAC-09.5_IAC-09.5_A02", + "prose": "security controls are implemented to manage the risk of compromise due to individuals having accounts on multiple systems." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:iam-09" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:iam-10" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:iam-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ia-5-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ia-05-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ia-05-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ia-05-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.07.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.05.d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.5-a" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a01-2025" + }, + { + "rel": "part-of", + "href": "#IAC-09" + } + ] + }, + { + "id": "IAC-09.6", + "title": "Pairwise Pseudonymous Identifiers (PPID)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to generate pairwise pseudonymous identifiers with no identifying information about a data subject to discourage activity tracking and profiling of the data subject." + }, + { + "name": "assessment-objective", + "id": "IAC-09.6_IAC-09.6_A01", + "prose": "pairwise pseudonymous identifiers are generated." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:ct.dp-p3" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:ct.dp-p5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:dm-3-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ia-04-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ia-04-08" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a01-2025" + }, + { + "rel": "part-of", + "href": "#IAC-09" + } + ] + }, + { + "id": "IAC-10", + "title": "Authenticator Management", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IAC-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management.1", + "value": "3.5.3.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management.2", + "value": "3.5.3.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to:\r\n(1) Securely manage authenticators for users and devices; and\r\n(2) Ensure the strength of authentication is appropriate to the classification of the data being accessed." + }, + { + "name": "assessment-objective", + "id": "IAC-10_IAC-10_A01", + "prose": "the number of generations during which a password cannot be reused is specified." + }, + { + "name": "assessment-objective", + "id": "IAC-10_IAC-10_A02", + "prose": "reuse of passwords is prohibited during the specified number of generations." + }, + { + "name": "assessment-objective", + "id": "IAC-10_IAC-10_A03", + "prose": "an immediate change to a permanent password is required when a temporary password is used for system logon." + }, + { + "name": "assessment-objective", + "id": "IAC-10_IAC-10_A04", + "prose": "the frequency for changing or refreshing authenticators is defined." + }, + { + "name": "assessment-objective", + "id": "IAC-10_IAC-10_A05", + "prose": "events that trigger the change or refreshment of authenticators are defined." + }, + { + "name": "assessment-objective", + "id": "IAC-10_IAC-10_A06", + "prose": "the identity of the individual, group, role, service, or device receiving the authenticator as part of the initial authenticator distribution is verified." + }, + { + "name": "assessment-objective", + "id": "IAC-10_IAC-10_A07", + "prose": "initial authenticator content for any authenticators issued by the organization is established." + }, + { + "name": "assessment-objective", + "id": "IAC-10_IAC-10_A08", + "prose": "system authenticators are managed to ensure that authenticators have sufficient strength of mechanism for their intended use." + }, + { + "name": "assessment-objective", + "id": "IAC-10_IAC-10_A09", + "prose": "system authenticators are managed through the establishment and implementation of administrative procedures for initial authenticator distribution. lost, compromised or damaged authenticators. and the revocation of authenticators." + }, + { + "name": "assessment-objective", + "id": "IAC-10_IAC-10_A10", + "prose": "default authenticators are changed at first use." + }, + { + "name": "assessment-objective", + "id": "IAC-10_IAC-10_A11", + "prose": "authenticators are changed or refreshed per an organization-defined frequency or when organization-defined events occur." + }, + { + "name": "assessment-objective", + "id": "IAC-10_IAC-10_A12", + "prose": "system authenticators are managed through the protection of authenticator content from unauthorized disclosure and modification." + }, + { + "name": "assessment-objective", + "id": "IAC-10_IAC-10_A13", + "prose": "system authenticators are managed through the requirement for individuals to take specific controls to protect authenticators." + }, + { + "name": "assessment-objective", + "id": "IAC-10_IAC-10_A14", + "prose": "system authenticators are managed through the requirement for devices to implement specific controls to protect authenticators." + }, + { + "name": "assessment-objective", + "id": "IAC-10_IAC-10_A15", + "prose": "system authenticators are managed through the change of authenticators for group or role accounts when membership to those accounts changes." + }, + { + "name": "assessment-objective", + "id": "IAC-10_IAC-10_A16", + "prose": "the frequency at which to update the list of commonly used, expected or compromised passwords is defined." + }, + { + "name": "assessment-objective", + "id": "IAC-10_IAC-10_A17", + "prose": "authenticator composition and complexity rules are defined." + }, + { + "name": "assessment-objective", + "id": "IAC-10_IAC-10_A18", + "prose": "administrative procedures for initial authenticator distribution are established." + }, + { + "name": "assessment-objective", + "id": "IAC-10_IAC-10_A19", + "prose": "administrative procedures for lost, compromised, or damaged authenticators are established." + }, + { + "name": "assessment-objective", + "id": "IAC-10_IAC-10_A20", + "prose": "administrative procedures for revoking authenticators are established." + }, + { + "name": "assessment-objective", + "id": "IAC-10_IAC-10_A21", + "prose": "administrative procedures for initial authenticator distribution are implemented." + }, + { + "name": "assessment-objective", + "id": "IAC-10_IAC-10_A22", + "prose": "administrative procedures for lost, compromised, or damaged authenticators are implemented." + }, + { + "name": "assessment-objective", + "id": "IAC-10_IAC-10_A23", + "prose": "administrative procedures for revoking authenticators are implemented." + }, + { + "name": "assessment-objective", + "id": "IAC-10_IAC-10_A24", + "prose": "authenticator content is protected from unauthorized disclosure." + }, + { + "name": "assessment-objective", + "id": "IAC-10_IAC-10_A25", + "prose": "authenticators are changed or refreshed or when the following events occur: ." + }, + { + "name": "assessment-objective", + "id": "IAC-10_IAC-10_A26", + "prose": "authenticator content is protected from unauthorized disclosure." + }, + { + "name": "assessment-objective", + "id": "IAC-10_IAC-10_A27", + "prose": "authenticator content is protected from unauthorized modification." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_5.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_5.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_5.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_5.2" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:iam-14" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:iam-15" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:iam-18" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:iam-21" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:user-1.11" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-1.5" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-1.9" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.17" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.18" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_9.2.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_9.4.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.17" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ia-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ia-5-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ia-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ia-05-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ia-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ia-05-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ia-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ia-05-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ia-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ia-05-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ia-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ia-05-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ia-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ia-05-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ia-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ia-05-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ia-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:ia-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:ia-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ia-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ia-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.5.8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.5.9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.07.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.07.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.07.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.07.d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.07.e" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.07.f" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.12.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.12.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.12.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.12.d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.12.e" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.12.f" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.5.8-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.5.8-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.5.9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.05.12.odp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.05.12.odp-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.05.12.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.05.12.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.05.12.c-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.05.12.c-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.05.12.c-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.05.12.c-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.05.12.c-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.05.12.c-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.05.12.d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.05.12.e" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.05.12.f-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.05.12.f-02" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.3.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.3.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.3.9" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.3.10.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.3.11" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.6.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_8.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_8.3.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_8.3.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_8.3.9" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.3.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.3.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.3.9" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.3.11" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.6.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.3.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.3.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.3.9" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.6.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_8.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_8.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.3.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.3.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.3.9" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.3.11" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.6.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.3.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.3.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.3.9" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.3.10.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.3.11" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.6.3" + } + ] + }, + { + "id": "IAC-10.1", + "title": "Password-Based Authentication", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IAC-10.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to enforce complexity, length and lifespan considerations to ensure strong criteria for password-based authentication." + }, + { + "name": "assessment-objective", + "id": "IAC-10.1_IAC-10.1_A01", + "prose": "for password-based authentication, a list of commonly used, expected or compromised passwords is maintained and updated frequently and when organizational passwords are suspected to have been compromised directly or indirectly." + }, + { + "name": "assessment-objective", + "id": "IAC-10.1_IAC-10.1_A02", + "prose": "for password-based authentication when passwords are created or updated by users, the passwords are verified not to be found on the list of commonly used, expected or compromised passwords." + }, + { + "name": "assessment-objective", + "id": "IAC-10.1_IAC-10.1_A03", + "prose": "for password-based authentication, passwords are only transmitted over cryptographically protected channels." + }, + { + "name": "assessment-objective", + "id": "IAC-10.1_IAC-10.1_A04", + "prose": "for password-based authentication, passwords are stored using an approved salted key derivation function, preferably using a keyed hash." + }, + { + "name": "assessment-objective", + "id": "IAC-10.1_IAC-10.1_A05", + "prose": "for password-based authentication, immediate selection of a new password is required upon account recovery." + }, + { + "name": "assessment-objective", + "id": "IAC-10.1_IAC-10.1_A06", + "prose": "for password-based authentication, user selection of long passwords and passphrases is allowed, including spaces and all printable characters." + }, + { + "name": "assessment-objective", + "id": "IAC-10.1_IAC-10.1_A07", + "prose": "for password-based authentication, automated tools are employed to assist the user in selecting strong password authenticators." + }, + { + "name": "assessment-objective", + "id": "IAC-10.1_IAC-10.1_A08", + "prose": "organization-defined composition and complexity rules for passwords are enforced." + }, + { + "name": "assessment-objective", + "id": "IAC-10.1_IAC-10.1_A09", + "prose": "password composition and complexity rules are defined." + }, + { + "name": "assessment-objective", + "id": "IAC-10.1_IAC-10.1_A10", + "prose": "password change of character requirements are defined." + }, + { + "name": "assessment-objective", + "id": "IAC-10.1_IAC-10.1_A11", + "prose": "minimum password complexity requirements, as defined, are enforced when new passwords are created." + }, + { + "name": "assessment-objective", + "id": "IAC-10.1_IAC-10.1_A12", + "prose": "minimum password change of character requirements as defined are enforced when new passwords are created." + }, + { + "name": "assessment-objective", + "id": "IAC-10.1_IAC-10.1_A13", + "prose": "the following composition and complexity rules for passwords are enforced: ." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_5.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_5.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_5.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_5.2" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:iam-13" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:iam-14" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:iam-15" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:iam-18" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:iam-19" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:iam-21" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:user-1.11" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-1.7" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-1.7-re-1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-1.7-re-2" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-1.5-c" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-1.7" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-1.7-1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-1.7-2" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.17" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_9.2.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_9.4.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.17" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ia-5-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ia-05-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ia-05-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ia-05-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ia-05-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ia-05-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ia-05-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ia-05-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.5.7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.07.e" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.07.f" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.12.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.12.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.12.d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.12.e" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.12.f" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.5.7-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.5.7-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.5.7-c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.5.7-d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.05.07.odp-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.05.07.f" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a07-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.3.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.3.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.3.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.3.9" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.3.10.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.6.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_8.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_8.3.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_8.3.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_8.3.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_8.3.9" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.3.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.3.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.3.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.3.9" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.6.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.3.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.3.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.3.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.3.9" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.6.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_8.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_8.3.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.3.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.3.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.3.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.3.9" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.6.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.3.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.3.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.3.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.3.9" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.3.10.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.6.3" + }, + { + "rel": "part-of", + "href": "#IAC-10" + } + ] + }, + { + "id": "IAC-10.2", + "title": "PKI-Based Authentication", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to validate certificates by constructing and verifying a certification path to an accepted trust anchor including checking certificate status information for PKI-based authentication." + }, + { + "name": "assessment-objective", + "id": "IAC-10.2_IAC-10.2_A01", + "prose": "authorized access to the corresponding private key is enforced for public key-based authentication." + }, + { + "name": "assessment-objective", + "id": "IAC-10.2_IAC-10.2_A02", + "prose": "the authenticated identity is mapped to the account of the individual or group for public key-based authentication." + }, + { + "name": "assessment-objective", + "id": "IAC-10.2_IAC-10.2_A03", + "prose": "when public key infrastructure (PKI) is used, certificates are validated by constructing and verifying a certification path to an accepted trust anchor, including checking certificate status information." + }, + { + "name": "assessment-objective", + "id": "IAC-10.2_IAC-10.2_A04", + "prose": "when public key infrastructure (PKI) is used, a local cache of revocation data is implemented to support path discovery and validation." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:iam-13" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:iam-14" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:cls-01" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-1.8" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-1.9-a" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-1.9-b" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-1.9-c" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-1.9-d" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-1.9-e" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-1.9-a" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-1.9-b" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-1.9-c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ia-5-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ia-05-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ia-05-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:ia-05-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ia-05-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ia-05-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ia-05-02" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a07-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.3.11" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_8.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.3.11" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_8.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.3.11" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.3.11" + }, + { + "rel": "part-of", + "href": "#IAC-10" + } + ] + }, + { + "id": "IAC-10.3", + "title": "In-Person or Trusted Third-Party Registration", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IAC-10.3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to conduct in-person or trusted third-party identify verification before user accounts for third-parties are created." + }, + { + "name": "assessment-objective", + "id": "IAC-10.3_IAC-10.3_A01", + "prose": "the validation and verification of identity evidence is conducted in person before a designated registration authority." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ia-5-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ia-12-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ia-12-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:ia-12-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ia-12-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ia-12-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.12.a" + }, + { + "rel": "part-of", + "href": "#IAC-10" + } + ] + }, + { + "id": "IAC-10.4", + "title": "Automated Support For Password Strength", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IAC-10.4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to determine if password authenticators are sufficiently strong enough to satisfy organization-defined password length and complexity requirements." + }, + { + "name": "assessment-objective", + "id": "IAC-10.4_IAC-10.4_A01", + "prose": "authenticator composition and complexity rules are defined." + }, + { + "name": "assessment-objective", + "id": "IAC-10.4_IAC-10.4_A02", + "prose": "for password-based authentication, composition and complexity rules are enforced." + }, + { + "name": "assessment-objective", + "id": "IAC-10.4_IAC-10.4_A03", + "prose": "automated mechanisms for the generation, protection, rotation and management of passwords for systems and system components that do not support multifactor authentication or complex account management are identified." + }, + { + "name": "assessment-objective", + "id": "IAC-10.4_IAC-10.4_A04", + "prose": "automated mechanisms for the generation, protection, rotation and management of passwords for systems and system components that do not support multifactor authentication or complex account management are employed." + }, + { + "name": "assessment-objective", + "id": "IAC-10.4_IAC-10.4_A05", + "prose": "the frequency at which to update the list of commonly used, expected, or compromised passwords is defined." + }, + { + "name": "assessment-objective", + "id": "IAC-10.4_IAC-10.4_A06", + "prose": "a list of commonly used, expected, or compromised passwords is maintained." + }, + { + "name": "assessment-objective", + "id": "IAC-10.4_IAC-10.4_A07", + "prose": "a list of commonly used, expected, or compromised passwords is updated per an organization-defined frequency." + }, + { + "name": "assessment-objective", + "id": "IAC-10.4_IAC-10.4_A08", + "prose": "a list of commonly used, expected, or compromised passwords is updated when organizational passwords are suspected to have been compromised." + }, + { + "name": "assessment-objective", + "id": "IAC-10.4_IAC-10.4_A09", + "prose": "passwords are verified not to be found on the list of commonly used, expected, or compromised passwords when they are created or updated by users." + }, + { + "name": "assessment-objective", + "id": "IAC-10.4_IAC-10.4_A10", + "prose": "a list of commonly used, expected, or compromised passwords is updated ." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:iam-15" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ia-5-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ia-05-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ia-05-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ia-05-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ia-05-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ia-05-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ia-05-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ia-05-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.07.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.07.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.05.07.odp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.05.07.a-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.05.07.a-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.05.07.a-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.05.07.b" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a07-2025" + }, + { + "rel": "part-of", + "href": "#IAC-10" + } + ] + }, + { + "id": "IAC-10.5", + "title": "Protection of Authenticators", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IAC-10.5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to protect authenticators commensurate with the sensitivity of the information to which use of the authenticator permits access." + }, + { + "name": "assessment-objective", + "id": "IAC-10.5_IAC-10.5_A01", + "prose": "authenticators are protected commensurate with the security category of the information to which use of the authenticator permits access." + }, + { + "name": "assessment-objective", + "id": "IAC-10.5_IAC-10.5_A02", + "prose": "authenticator content is protected from unauthorized disclosure." + }, + { + "name": "assessment-objective", + "id": "IAC-10.5_IAC-10.5_A03", + "prose": "authenticator content is protected from unauthorized modification." + }, + { + "name": "assessment-objective", + "id": "IAC-10.5_IAC-10.5_A04", + "prose": "passwords are stored in a cryptographically protected form." + }, + { + "name": "assessment-objective", + "id": "IAC-10.5_IAC-10.5_A05", + "prose": "passwords are cryptographically protected in transit." + }, + { + "name": "assessment-objective", + "id": "IAC-10.5_IAC-10.5_A06", + "prose": "passwords are only transmitted over cryptographically protected channels." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:iam-15" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-1.5-d" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.17" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_9.2.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_9.3.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.17" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ia-5-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ia-05-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ia-05-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:ia-05-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ia-05-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ia-05-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ia-05-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.5.10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.07.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.07.d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.12.f" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.5.10-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.5.10-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.05.07.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.05.07.d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.05.12.f-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.05.12.f-02" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.3.11" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.3.11" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.3.11" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.3.11" + }, + { + "rel": "part-of", + "href": "#IAC-10" + } + ] + }, + { + "id": "IAC-10.6", + "title": "No Embedded Unencrypted Static Authenticators", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IAC-10.6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure that unencrypted, static authenticators are not embedded in applications, scripts or stored on function keys." + }, + { + "name": "assessment-objective", + "id": "IAC-10.6_IAC-10.6_A01", + "prose": "unencrypted static authenticators are not embedded in applications or other forms of static storage." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:iam-15" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ia-5-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ia-05-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ia-05-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.07.d" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a07-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.6.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.6.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.6.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.6.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.6.2" + }, + { + "rel": "part-of", + "href": "#IAC-10" + } + ] + }, + { + "id": "IAC-10.7", + "title": "Hardware Token-Based Authentication", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to ensure organization-defined token quality requirements are satisfied for hardware token-based authentication." + }, + { + "name": "assessment-objective", + "id": "IAC-10.7_IAC-10.7_A01", + "prose": "organization-defined token quality requirements are satisfied for hardware token-based authentication." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ia-5-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ia-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ia-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ia-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ia-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ia-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ia-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ia-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ia-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ia-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ia-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ia-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ia-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ia-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ia-02-02" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.3.11" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.3.11" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.3.11" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.3.11" + }, + { + "rel": "part-of", + "href": "#IAC-10" + } + ] + }, + { + "id": "IAC-10.8", + "title": "Default Authenticators", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IAC-10.8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management", + "value": "3.5.3.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure default authenticators are changed as part of account creation or system installation." + }, + { + "name": "assessment-objective", + "id": "IAC-10.8_IAC-10.8_A01", + "prose": "developers and installers of system components are required to provide unique authenticators or change default authenticators prior to delivery and installation." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_4.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_4.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_4.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_4.7" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:iam-15" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:iam-20" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-1.5-a" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-1.5-b" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.17" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_9.2.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.17" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ia-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ia-5-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ia-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ia-05-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ia-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ia-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ia-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ia-05-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ia-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ia-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ia-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ia-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ia-5-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:ia-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:ia-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ia-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ia-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ia-5-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.07.e" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.12.d" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a07-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_2.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_2.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.5.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_2.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_2.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_6.5.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_2.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_2.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_2.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_2.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_6.5.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_2.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_2.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_2.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_2.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.5.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_2.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_2.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.5.2" + }, + { + "rel": "part-of", + "href": "#IAC-10" + } + ] + }, + { + "id": "IAC-10.9", + "title": "Multiple System Accounts", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to implement security safeguards to manage the risk of compromise due to individuals having accounts on multiple Technology Assets, Applications and/or Services (TAAS)." + }, + { + "name": "assessment-objective", + "id": "IAC-10.9_IAC-10.9_A01", + "prose": "security controls implemented to manage the risk of compromise due to individuals having accounts on multiple systems are defined." + }, + { + "name": "assessment-objective", + "id": "IAC-10.9_IAC-10.9_A02", + "prose": "security controls are implemented to manage the risk of compromise due to individuals having accounts on multiple systems." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ia-5-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ia-05-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ia-05-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ia-05-08" + }, + { + "rel": "part-of", + "href": "#IAC-10" + } + ] + }, + { + "id": "IAC-10.10", + "title": "Expiration of Cached Authenticators", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to prohibit the use of cached authenticators after organization-defined time period." + }, + { + "name": "assessment-objective", + "id": "IAC-10.10_IAC-10.10_A01", + "prose": "the time period after which the use of cached authenticators is prohibited is defined." + }, + { + "name": "assessment-objective", + "id": "IAC-10.10_IAC-10.10_A02", + "prose": "the use of cached authenticators is prohibited after an organization-defined time period." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ia-5-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ia-05-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ia-05-13" + }, + { + "rel": "part-of", + "href": "#IAC-10" + } + ] + }, + { + "id": "IAC-10.11", + "title": "Password Managers", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IAC-10.11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to protect and store passwords via a password manager tool." + }, + { + "name": "assessment-objective", + "id": "IAC-10.11_IAC-10.11_A01", + "prose": "password managers employed for generating and managing passwords are defined." + }, + { + "name": "assessment-objective", + "id": "IAC-10.11_IAC-10.11_A02", + "prose": "password managers are employed to generate and manage passwords." + }, + { + "name": "assessment-objective", + "id": "IAC-10.11_IAC-10.11_A03", + "prose": "systems and system components that do not support multifactor authentication or complex account management are identified." + }, + { + "name": "assessment-objective", + "id": "IAC-10.11_IAC-10.11_A04", + "prose": "automated mechanisms for the generation, protection, rotation and management of passwords for systems and system components that do not support multifactor authentication or complex account management are identified." + }, + { + "name": "assessment-objective", + "id": "IAC-10.11_IAC-10.11_A05", + "prose": "automated mechanisms for the generation, protection, rotation and management of passwords for systems and system components that do not support multifactor authentication or complex account management are employed." + }, + { + "name": "assessment-objective", + "id": "IAC-10.11_IAC-10.11_A06", + "prose": "controls for protecting passwords are defined." + }, + { + "name": "assessment-objective", + "id": "IAC-10.11_IAC-10.11_A07", + "prose": "the passwords are protected using controls." + }, + { + "name": "assessment-objective", + "id": "IAC-10.11_IAC-10.11_A08", + "prose": "the frequency at which to update the list of commonly used, expected, or compromised passwords is defined." + }, + { + "name": "assessment-objective", + "id": "IAC-10.11_IAC-10.11_A09", + "prose": "a list of commonly used, expected, or compromised passwords is maintained." + }, + { + "name": "assessment-objective", + "id": "IAC-10.11_IAC-10.11_A10", + "prose": "a list of commonly used, expected, or compromised passwords is updated per an organization-defined frequency." + }, + { + "name": "assessment-objective", + "id": "IAC-10.11_IAC-10.11_A11", + "prose": "a list of commonly used, expected, or compromised passwords is updated when organizational passwords are suspected to have been compromised." + }, + { + "name": "assessment-objective", + "id": "IAC-10.11_IAC-10.11_A12", + "prose": "passwords are verified not to be found on the list of commonly used, expected, or compromised passwords when they are created or updated by users." + }, + { + "name": "assessment-objective", + "id": "IAC-10.11_IAC-10.11_A13", + "prose": "a list of commonly used, expected, or compromised passwords is updated ." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:iam-15" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.17" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.18" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_9.2.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_9.4.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.17" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ia-05-18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ia-05-18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.07.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.07.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.07.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.07.d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.07.f" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.05.07.odp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.05.07.a-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.05.07.a-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.05.07.a-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.05.07.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.5.2e" + }, + { + "rel": "part-of", + "href": "#IAC-10" + } + ] + }, + { + "id": "IAC-10.12", + "title": "Biometric Authentication", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure biometric-based authentication satisfies organization-defined biometric quality requirements for false positives and false negatives." + }, + { + "name": "assessment-objective", + "id": "IAC-10.12_IAC-10.12_A01", + "prose": "biometric quality requirements for biometric-based authentication are defined." + }, + { + "name": "assessment-objective", + "id": "IAC-10.12_IAC-10.12_A02", + "prose": "mechanisms that satisfy organization-defined biometric quality requirements are employed for biometric-based authentication." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ia-5-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ia-05-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ia-05-12" + }, + { + "rel": "part-of", + "href": "#IAC-10" + } + ] + }, + { + "id": "IAC-10.13", + "title": "Events Requiring Authenticator Change", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to change authentication credentials:\r\n(1) At predefined intervals; and/or\r\n(2) Upon suspicion of credential compromise." + }, + { + "name": "assessment-objective", + "id": "IAC-10.13_IAC-10.13_A01", + "prose": "authentication credentials are changed at predefined intervals." + }, + { + "name": "assessment-objective", + "id": "IAC-10.13_IAC-10.13_A02", + "prose": "authentication credentials are changed upon suspicion of credential compromise." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:user-1.12" + }, + { + "rel": "part-of", + "href": "#IAC-10" + } + ] + }, + { + "id": "IAC-10.14", + "title": "Passkeys", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to utilize passkeys, or equivalent cryptographic key pairing technologies, to authenticate users to Technology Assets, Applications and/or Services (TAAS)." + }, + { + "name": "assessment-objective", + "id": "IAC-10.14_IAC-10.14_A01", + "prose": "passkeys, or equivalent cryptographic key pairing technologies, are used to authenticate users to Assets, Applications & Services (AAS)." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#IAC-10" + } + ] + }, + { + "id": "IAC-11", + "title": "Authenticator Feedback", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IAC-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to obscure the feedback of authentication information during the authentication process to protect the information from possible exploitation/use by unauthorized individuals." + }, + { + "name": "assessment-objective", + "id": "IAC-11_IAC-11_A01", + "prose": "authentication information is obscured during the authentication process." + }, + { + "name": "assessment-objective", + "id": "IAC-11_IAC-11_A02", + "prose": "feedback of authentication information during the authentication process is obscured." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:user-1.14" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-1.10" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-1.10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ia-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ia-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ia-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ia-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ia-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ia-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ia-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.5.11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.5.11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.05.11" + } + ] + }, + { + "id": "IAC-12", + "title": "Cryptographic Module Authentication", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure cryptographic modules adhere to applicable statutory, regulatory and contractual requirements for security strength." + }, + { + "name": "assessment-objective", + "id": "IAC-12_IAC-12_A01", + "prose": "mechanisms for authentication to a cryptographic module are implemented that meet the requirements of applicable laws, executive orders, directives, policies, regulations, standards and guidelines for such authentication." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:iam-22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ia-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ia-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ia-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ia-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ia-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ia-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ia-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ia-07" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_3.6.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_3.6.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_3.6.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_3.6.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_3.6.1.2" + } + ] + }, + { + "id": "IAC-12.1", + "title": "Hardware Security Modules (HSM)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to utilize Hardware Security Modules (HSM) to protect authenticators on which the component relies." + }, + { + "name": "assessment-objective", + "id": "IAC-12.1_IAC-12.1_A01", + "prose": "Hardware Security Modules (HSM) protect authenticators on which the component relies." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-1.5-re-1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-1.9-re-1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-1.5-1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-1.9-1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-1.14-1" + }, + { + "rel": "part-of", + "href": "#IAC-12" + } + ] + }, + { + "id": "IAC-13", + "title": "Adaptive Identification & Authentication", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IAC-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to allow individuals to utilize alternative methods of authentication under specific circumstances or situations." + }, + { + "name": "assessment-objective", + "id": "IAC-13_IAC-13_A01", + "prose": "supplemental authentication techniques or mechanisms to be employed when accessing the system under specific circumstances or situations are defined." + }, + { + "name": "assessment-objective", + "id": "IAC-13_IAC-13_A02", + "prose": "circumstances or situations that require individuals accessing the system to employ supplemental authentication techniques or mechanisms are defined." + }, + { + "name": "assessment-objective", + "id": "IAC-13_IAC-13_A03", + "prose": "individuals accessing the system are required to employ supplemental authentication techniques or mechanisms under specific circumstances or situations." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ia-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ia-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ia-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:ia-10" + } + ] + }, + { + "id": "IAC-13.1", + "title": "Single Sign-On (SSO) Transparent Authentication", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to provide a transparent authentication (e.g., Single Sign-On (SSO)) capability to the organization's Technology Assets, Applications and/or Services (TAAS)." + }, + { + "name": "assessment-objective", + "id": "IAC-13.1_IAC-13.1_A01", + "prose": "system accounts and services for which a single sign-on capability must be provided are defined." + }, + { + "name": "assessment-objective", + "id": "IAC-13.1_IAC-13.1_A02", + "prose": "a single sign-on capability is provided for organization-defined system accounts and services." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_6.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_6.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_6.7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ia-02-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ia-02-10" + }, + { + "rel": "part-of", + "href": "#IAC-13" + } + ] + }, + { + "id": "IAC-13.2", + "title": "Federated Credential Management", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to federate credentials to allow cross-organization authentication of individuals and devices." + }, + { + "name": "assessment-objective", + "id": "IAC-13.2_IAC-13.2_A01", + "prose": "external organizations to be used for federating credentials are defined." + }, + { + "name": "assessment-objective", + "id": "IAC-13.2_IAC-13.2_A02", + "prose": "external organizations are used to federate credentials." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_6.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_6.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_6.7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ia-05-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ia-05-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ia-5-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ia-5-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-4" + }, + { + "rel": "part-of", + "href": "#IAC-13" + } + ] + }, + { + "id": "IAC-13.3", + "title": "Continuous Authentication", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IAC-13.3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to enable continuous re-authentication through the lifecycle of entity interactions." + }, + { + "name": "assessment-objective", + "id": "IAC-13.3_IAC-13.3_A01", + "prose": "technologies are configured to enforce continuous re-authentication through the lifecycle of entity interactions." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#IAC-13" + } + ] + }, + { + "id": "IAC-14", + "title": "Re-Authentication", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IAC-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to force users and devices to re-authenticate according to organization-defined circumstances that necessitate re-authentication." + }, + { + "name": "assessment-objective", + "id": "IAC-14_IAC-14_A01", + "prose": "circumstances or situations that require re-authentication are defined." + }, + { + "name": "assessment-objective", + "id": "IAC-14_IAC-14_A02", + "prose": "users are reauthenticated per organization-defined circumstances or situations." + }, + { + "name": "assessment-objective", + "id": "IAC-14_IAC-14_A03", + "prose": "users are reauthenticated when ." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ia-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ia-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ia-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ia-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ia-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ia-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ia-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.01.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.05.01.odp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.05.01.b" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a07-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.2.8" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.2.8" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.2.8" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.2.8" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.2.8" + } + ] + }, + { + "id": "IAC-15", + "title": "Account Management", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IAC-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management", + "value": "3.5.3.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to proactively govern account management of individual, group, system, service, application, guest and temporary accounts." + }, + { + "name": "assessment-objective", + "id": "IAC-15_IAC-15_A01", + "prose": "criteria for account creation, enabling, modification, disabling and removal are defined." + }, + { + "name": "assessment-objective", + "id": "IAC-15_IAC-15_A02", + "prose": "approvals are required by organization-defined personnel or roles for requests to create accounts." + }, + { + "name": "assessment-objective", + "id": "IAC-15_IAC-15_A03", + "prose": "accounts are created in accordance with organization-defined policy, procedures, prerequisites and criteria." + }, + { + "name": "assessment-objective", + "id": "IAC-15_IAC-15_A04", + "prose": "accounts are enabled in accordance with organization-defined policy, procedures, prerequisites and criteria." + }, + { + "name": "assessment-objective", + "id": "IAC-15_IAC-15_A05", + "prose": "accounts are modified in accordance with organization-defined policy, procedures, prerequisites and criteria." + }, + { + "name": "assessment-objective", + "id": "IAC-15_IAC-15_A06", + "prose": "accounts are disabled in accordance with organization-defined policy, procedures, prerequisites and criteria." + }, + { + "name": "assessment-objective", + "id": "IAC-15_IAC-15_A07", + "prose": "accounts are removed in accordance with organization-defined policy, procedures, prerequisites and criteria." + }, + { + "name": "assessment-objective", + "id": "IAC-15_IAC-15_A08", + "prose": "the use of accounts is monitored." + }, + { + "name": "assessment-objective", + "id": "IAC-15_IAC-15_A09", + "prose": "accounts are reviewed for compliance with account management requirements organization-defined frequency." + }, + { + "name": "assessment-objective", + "id": "IAC-15_IAC-15_A10", + "prose": "account management processes are aligned with personnel termination processes." + }, + { + "name": "assessment-objective", + "id": "IAC-15_IAC-15_A11", + "prose": "account management processes are aligned with personnel transfer processes." + }, + { + "name": "assessment-objective", + "id": "IAC-15_IAC-15_A12", + "prose": "account managers and organization-defined personnel or roles are notified within an organization-defined time period when accounts are no longer required." + }, + { + "name": "assessment-objective", + "id": "IAC-15_IAC-15_A13", + "prose": "account managers and organization-defined personnel or roles are notified within an organization-defined time period when users are terminated or transferred." + }, + { + "name": "assessment-objective", + "id": "IAC-15_IAC-15_A14", + "prose": "account managers and organization-defined personnel or roles are notified within an organization-defined time period when system usage or the need to know changes for an individual." + }, + { + "name": "assessment-objective", + "id": "IAC-15_IAC-15_A15", + "prose": "access to the system is authorized based on a valid access authorization." + }, + { + "name": "assessment-objective", + "id": "IAC-15_IAC-15_A16", + "prose": "access to the system is authorized based on intended system usage." + }, + { + "name": "assessment-objective", + "id": "IAC-15_IAC-15_A17", + "prose": "access to the system is authorized based on organization-defined attributes (as required)." + }, + { + "name": "assessment-objective", + "id": "IAC-15_IAC-15_A18", + "prose": "the use of system accounts is monitored." + }, + { + "name": "assessment-objective", + "id": "IAC-15_IAC-15_A19", + "prose": "system accounts are disabled when the accounts have expired." + }, + { + "name": "assessment-objective", + "id": "IAC-15_IAC-15_A20", + "prose": "system accounts are disabled when the accounts have been inactive for ." + }, + { + "name": "assessment-objective", + "id": "IAC-15_IAC-15_A21", + "prose": "system accounts are disabled when the accounts are no longer associated with a user or individual." + }, + { + "name": "assessment-objective", + "id": "IAC-15_IAC-15_A22", + "prose": "system accounts are disabled when the accounts violate organizational policy." + }, + { + "name": "assessment-objective", + "id": "IAC-15_IAC-15_A23", + "prose": "system accounts are disabled when significant risks associated with individuals are discovered." + }, + { + "name": "assessment-objective", + "id": "IAC-15_IAC-15_A24", + "prose": "account types specifically prohibited for use within the system are defined and documented." + }, + { + "name": "assessment-objective", + "id": "IAC-15_IAC-15_A25", + "prose": "the types of transactions and functions that authorized users are permitted to execute are defined." + }, + { + "name": "assessment-objective", + "id": "IAC-15_IAC-15_A26", + "prose": "personnel or roles required to approve requests to create accounts is/are defined." + }, + { + "name": "assessment-objective", + "id": "IAC-15_IAC-15_A27", + "prose": "criteria for account creation, enabling, modification, disabling and removal are defined." + }, + { + "name": "assessment-objective", + "id": "IAC-15_IAC-15_A28", + "prose": "account types allowed for use within the system are defined and documented." + }, + { + "name": "assessment-objective", + "id": "IAC-15_IAC-15_A29", + "prose": "account managers are assigned." + }, + { + "name": "assessment-objective", + "id": "IAC-15_IAC-15_A30", + "prose": "system access is limited to the defined types of transactions and functions for authorized users." + }, + { + "name": "assessment-objective", + "id": "IAC-15_IAC-15_A31", + "prose": "prerequisites and criteria for group and role membership are defined." + }, + { + "name": "assessment-objective", + "id": "IAC-15_IAC-15_A32", + "prose": "attributes (as required) for each account are defined." + }, + { + "name": "assessment-objective", + "id": "IAC-15_IAC-15_A33", + "prose": "personnel or roles required to approve requests to create accounts is/are defined." + }, + { + "name": "assessment-objective", + "id": "IAC-15_IAC-15_A34", + "prose": "personnel or roles to be notified is/are defined." + }, + { + "name": "assessment-objective", + "id": "IAC-15_IAC-15_A35", + "prose": "time period within which to notify account managers when accounts are no longer required is defined." + }, + { + "name": "assessment-objective", + "id": "IAC-15_IAC-15_A36", + "prose": "time period within which to notify account managers when users are terminated or transferred is defined." + }, + { + "name": "assessment-objective", + "id": "IAC-15_IAC-15_A37", + "prose": "time period within which to notify account managers when system usage or the need to know changes for an individual is defined." + }, + { + "name": "assessment-objective", + "id": "IAC-15_IAC-15_A38", + "prose": "attributes needed to authorize system access (as required) are defined." + }, + { + "name": "assessment-objective", + "id": "IAC-15_IAC-15_A39", + "prose": "the frequency of account review is defined." + }, + { + "name": "assessment-objective", + "id": "IAC-15_IAC-15_A40", + "prose": "organization-defined prerequisites and criteria for group and role membership are required." + }, + { + "name": "assessment-objective", + "id": "IAC-15_IAC-15_A41", + "prose": "authorized users of the system are specified." + }, + { + "name": "assessment-objective", + "id": "IAC-15_IAC-15_A42", + "prose": "group and role membership are specified." + }, + { + "name": "assessment-objective", + "id": "IAC-15_IAC-15_A43", + "prose": "access authorizations (e.g., privileges) are specified for each account." + }, + { + "name": "assessment-objective", + "id": "IAC-15_IAC-15_A44", + "prose": "organization-defined attributes (as required) are specified for each account." + }, + { + "name": "assessment-objective", + "id": "IAC-15_IAC-15_A45", + "prose": "a process is established for changing shared or group account authenticators (if deployed) when individuals are removed from the group." + }, + { + "name": "assessment-objective", + "id": "IAC-15_IAC-15_A46", + "prose": "a process is implemented for changing shared or group account authenticators (if deployed) when individuals are removed from the group." + }, + { + "name": "assessment-objective", + "id": "IAC-15_IAC-15_A47", + "prose": "the time period for account inactivity before disabling is defined." + }, + { + "name": "assessment-objective", + "id": "IAC-15_IAC-15_A48", + "prose": "system account types allowed are defined." + }, + { + "name": "assessment-objective", + "id": "IAC-15_IAC-15_A49", + "prose": "system account types prohibited are defined." + }, + { + "name": "assessment-objective", + "id": "IAC-15_IAC-15_A50", + "prose": "account managers and designated personnel or roles are notified within when accounts are no longer required." + }, + { + "name": "assessment-objective", + "id": "IAC-15_IAC-15_A51", + "prose": "account managers and designated personnel or roles are notified within when users are terminated or transferred." + }, + { + "name": "assessment-objective", + "id": "IAC-15_IAC-15_A52", + "prose": "account managers and designated personnel or roles are notified within when system usage or the need-to-know changes for an individual." + }, + { + "name": "assessment-objective", + "id": "IAC-15_IAC-15_A53", + "prose": "a new password is selected upon first use after account recovery." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:user-1.2" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:user-1.3" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-1.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.15" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.16" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.18" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_9.1.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_9.2.5" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_9.2.6" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.15" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.16" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ac-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ac-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ac-02" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.312-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ac-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ac-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ac-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ac-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:ac-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:ac-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ac-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ac-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.1.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.01.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.01.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.01.c.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.01.c.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.01.d.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.01.d.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.01.e" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.01.f.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.01.f.03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.01.f.04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.01.f.05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.01.g.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.01.g.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.01.g.03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.05.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.05.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.05.d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.2-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.2-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.01.odp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.01.a-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.01.a-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.01.c.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.01.e" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.01.f.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.01.f.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.01.f.03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.01.f.04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.01.f.05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.01.g.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.01.g.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.01.g.03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.05.07.e" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.3.10" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_8.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.3.10" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.6.1" + } + ] + }, + { + "id": "IAC-15.1", + "title": "Automated System Account Management (Directory Services)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IAC-15.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to support the management of system accounts (e.g., directory services)." + }, + { + "name": "assessment-objective", + "id": "IAC-15.1_IAC-15.1_A01", + "prose": "automated mechanisms used to support the management of system accounts are defined." + }, + { + "name": "assessment-objective", + "id": "IAC-15.1_IAC-15.1_A02", + "prose": "the management of system accounts is supported using organization-defined automated mechanisms." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_5.0" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_5.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_6.0" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_5.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_5.6" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:user-1.3" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:user-1.4" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:user-1.7" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:user-1.8" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:user-1.8-a" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:user-1.8-b" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:user-1.8-c" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-1.3" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-1.3-re-1" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.18" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ac-2-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:ac-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ac-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ac-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.1.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.5.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.5.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.05.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.05.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.05.d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.07.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.07.d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.07.e" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.07.f" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.12.d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.12.e" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.12.f" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-4" + }, + { + "rel": "part-of", + "href": "#IAC-15" + } + ] + }, + { + "id": "IAC-15.2", + "title": "Removal of Temporary / Emergency Accounts", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to disable or remove temporary and emergency accounts after an organization-defined time period for each type of account." + }, + { + "name": "assessment-objective", + "id": "IAC-15.2_IAC-15.2_A01", + "prose": "the time period after which to automatically remove or disable temporary or emergency accounts is defined." + }, + { + "name": "assessment-objective", + "id": "IAC-15.2_IAC-15.2_A02", + "prose": "temporary and emergency accounts are automatically disabled per an organization-defined time period." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.18" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ac-2-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:ac-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.312-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ac-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ac-02-02" + }, + { + "rel": "part-of", + "href": "#IAC-15" + } + ] + }, + { + "id": "IAC-15.3", + "title": "Disable Inactive Accounts", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IAC-15.3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to disable inactive accounts after an organization-defined time period." + }, + { + "name": "assessment-objective", + "id": "IAC-15.3_IAC-15.3_A01", + "prose": "a period of inactivity after which an account / identifier is disabled is defined." + }, + { + "name": "assessment-objective", + "id": "IAC-15.3_IAC-15.3_A02", + "prose": "accounts / identifiers are disabled after the defined period of inactivity." + }, + { + "name": "assessment-objective", + "id": "IAC-15.3_IAC-15.3_A03", + "prose": "accounts / identifiers are disabled within an organization-defined time period when the accounts have expired." + }, + { + "name": "assessment-objective", + "id": "IAC-15.3_IAC-15.3_A04", + "prose": "accounts / identifiers are disabled within an organization-defined time period when the accounts are no longer associated with a user or individual." + }, + { + "name": "assessment-objective", + "id": "IAC-15.3_IAC-15.3_A05", + "prose": "accounts / identifiers are disabled within an organization-defined time period when the accounts are in violation of organizational policy." + }, + { + "name": "assessment-objective", + "id": "IAC-15.3_IAC-15.3_A06", + "prose": "system accounts are disabled when the accounts have been inactive for ." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_5.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_5.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_5.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_5.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.16" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.16" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ac-2-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-02-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:ac-02-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-02-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ac-02-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ac-02-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.5.6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.01.f.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.5.6-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.5.6-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.01.f.02" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.2.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.2.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.2.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.2.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.2.6" + }, + { + "rel": "part-of", + "href": "#IAC-15" + } + ] + }, + { + "id": "IAC-15.4", + "title": "Automated Audit Actions", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to audit account creation, modification, enabling, disabling and removal actions and notify organization-defined personnel or roles." + }, + { + "name": "assessment-objective", + "id": "IAC-15.4_IAC-15.4_A01", + "prose": "account creation is automatically audited." + }, + { + "name": "assessment-objective", + "id": "IAC-15.4_IAC-15.4_A02", + "prose": "account modification is automatically audited." + }, + { + "name": "assessment-objective", + "id": "IAC-15.4_IAC-15.4_A03", + "prose": "account enabling is automatically audited." + }, + { + "name": "assessment-objective", + "id": "IAC-15.4_IAC-15.4_A04", + "prose": "account disabling is automatically audited." + }, + { + "name": "assessment-objective", + "id": "IAC-15.4_IAC-15.4_A05", + "prose": "account removal actions are automatically audited." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ac-2-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-02-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:ac-02-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-02-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ac-02-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ac-02-04" + }, + { + "rel": "part-of", + "href": "#IAC-15" + } + ] + }, + { + "id": "IAC-15.5", + "title": "Restrictions on Shared Groups / Accounts", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IAC-15.5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to authorize the use of shared/group accounts only under certain organization-defined conditions." + }, + { + "name": "assessment-objective", + "id": "IAC-15.5_IAC-15.5_A01", + "prose": "conditions for establishing shared and group accounts are defined." + }, + { + "name": "assessment-objective", + "id": "IAC-15.5_IAC-15.5_A02", + "prose": "the use of shared and group accounts is only permitted if organization-defined conditions are met." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:user-1.12" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.16" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.16" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ac-2-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-02-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-02-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.01.c.01" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_8.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_8.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_8.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.2.2" + }, + { + "rel": "part-of", + "href": "#IAC-15" + } + ] + }, + { + "id": "IAC-15.6", + "title": "Account Disabling for High Risk Individuals", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IAC-15.6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to disable accounts immediately upon notification for users posing a significant risk to the organization." + }, + { + "name": "assessment-objective", + "id": "IAC-15.6_IAC-15.6_A01", + "prose": "time period within which to disable accounts of individuals who are discovered to pose significant risk is defined." + }, + { + "name": "assessment-objective", + "id": "IAC-15.6_IAC-15.6_A02", + "prose": "significant risks leading to disabling accounts are defined." + }, + { + "name": "assessment-objective", + "id": "IAC-15.6_IAC-15.6_A03", + "prose": "accounts of individuals are disabled within an organization-defined time period of discovery of significant risks." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:iam-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ac-2-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-02-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ac-02-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:ac-02-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-02-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ac-02-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ac-02-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.01.f.04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.01.f.05" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a01-2025" + }, + { + "rel": "part-of", + "href": "#IAC-15" + } + ] + }, + { + "id": "IAC-15.7", + "title": "System Account Reviews", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IAC-15.7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to review all system accounts and disable any account that cannot be associated with a business process and owner." + }, + { + "name": "assessment-objective", + "id": "IAC-15.7_IAC-15.7_A01", + "prose": "system account types allowed are defined." + }, + { + "name": "assessment-objective", + "id": "IAC-15.7_IAC-15.7_A02", + "prose": "system account types prohibited are defined." + }, + { + "name": "assessment-objective", + "id": "IAC-15.7_IAC-15.7_A03", + "prose": "system accounts that cannot be associated with a business process and owner are disabled." + }, + { + "name": "assessment-objective", + "id": "IAC-15.7_IAC-15.7_A04", + "prose": "system accounts are created in accordance with organizational policy, procedures, prerequisites, and criteria." + }, + { + "name": "assessment-objective", + "id": "IAC-15.7_IAC-15.7_A05", + "prose": "system accounts are enabled in accordance with organizational policy, procedures, prerequisites, and criteria." + }, + { + "name": "assessment-objective", + "id": "IAC-15.7_IAC-15.7_A06", + "prose": "system accounts are modified in accordance with organizational policy, procedures, prerequisites, and criteria." + }, + { + "name": "assessment-objective", + "id": "IAC-15.7_IAC-15.7_A07", + "prose": "system accounts are disabled in accordance with organizational policy, procedures, prerequisites, and criteria." + }, + { + "name": "assessment-objective", + "id": "IAC-15.7_IAC-15.7_A08", + "prose": "system accounts are removed in accordance with organizational policy, procedures, prerequisites, and criteria." + }, + { + "name": "assessment-objective", + "id": "IAC-15.7_IAC-15.7_A09", + "prose": "authorized users of the system are specified." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.01.e" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.05.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.01.a-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.01.a-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.01.b-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.01.b-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.01.b-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.01.b-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.01.b-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.01.c.01" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.6.1" + }, + { + "rel": "part-of", + "href": "#IAC-15" + } + ] + }, + { + "id": "IAC-15.8", + "title": "Usage Conditions", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to enforce usage conditions for users and/or roles." + }, + { + "name": "assessment-objective", + "id": "IAC-15.8_IAC-15.8_A01", + "prose": "circumstances and/or usage conditions to be enforced for system accounts are defined." + }, + { + "name": "assessment-objective", + "id": "IAC-15.8_IAC-15.8_A02", + "prose": "system accounts subject to enforcement of circumstances and/or usage conditions are defined." + }, + { + "name": "assessment-objective", + "id": "IAC-15.8_IAC-15.8_A03", + "prose": "organization-defined system accounts are enforced." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ac-2-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-02-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:ac-02-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-02-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ac-02-11" + }, + { + "rel": "part-of", + "href": "#IAC-15" + } + ] + }, + { + "id": "IAC-15.9", + "title": "Emergency Accounts", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to establish and control \"emergency access only\" accounts." + }, + { + "name": "assessment-objective", + "id": "IAC-15.9_IAC-15.9_A01", + "prose": "a process exists to establish \"emergency access only\" accounts." + }, + { + "name": "assessment-objective", + "id": "IAC-15.9_IAC-15.9_A02", + "prose": "\"emergency access only\" accounts are controlled." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:respond" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.312-a" + }, + { + "rel": "part-of", + "href": "#IAC-15" + } + ] + }, + { + "id": "IAC-16", + "title": "Privileged Account Management (PAM)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IAC-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to restrict and control privileged access rights for users and Technology Assets, Applications and/or Services (TAAS)." + }, + { + "name": "assessment-objective", + "id": "IAC-16_IAC-16_A01", + "prose": "privileged access rights for users and services are restricted based on roles." + }, + { + "name": "assessment-objective", + "id": "IAC-16_IAC-16_A02", + "prose": "privileged access rights for users and services are controlled." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_2.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_5.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_5.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_5.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_5.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_5.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_5.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_2.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_5.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_5.4" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:iam-09" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:iam-10" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:iam-11" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:iam-02" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:iam-04" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.15" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.18" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_9.1.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.15" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.1.5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.06.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.07.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.07.b" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_7.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_7.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_7.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_7.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_7.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_7.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_7.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_7.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_7.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_7.2.5" + } + ] + }, + { + "id": "IAC-16.1", + "title": "Privileged Account Inventories", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IAC-16.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to inventory all privileged accounts and validate that each person with elevated privileges is authorized by the appropriate level of organizational management." + }, + { + "name": "assessment-objective", + "id": "IAC-16.1_IAC-16.1_A01", + "prose": "all privileged accounts are inventoried." + }, + { + "name": "assessment-objective", + "id": "IAC-16.1_IAC-16.1_A02", + "prose": "validation is performed for each person with elevated privileges for authorization by the appropriate level of organizational management." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_5.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_5.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_5.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_5.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_5.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_5.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_5.5" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:iam-03" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:iam-10" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:iam-11" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.18" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_9.2.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.18" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.1.5" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a01-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_7.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_7.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_7.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_7.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_7.2.4" + }, + { + "rel": "part-of", + "href": "#IAC-16" + } + ] + }, + { + "id": "IAC-16.2", + "title": "Privileged Account Separation", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to separate privileged accounts between infrastructure environments to reduce the risk of a compromise in one infrastructure environment from laterally affecting other infrastructure environments." + }, + { + "name": "assessment-objective", + "id": "IAC-16.2_IAC-16.2_A01", + "prose": "separate privileged accounts exist between infrastructure environments to reduce the risk of a compromise in one infrastructure environment from laterally affecting other infrastructure environments." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#IAC-16" + } + ] + }, + { + "id": "IAC-16.3", + "title": "Privileged Command Execution", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure privilege change requests require additional levels of authentication." + }, + { + "name": "assessment-objective", + "id": "IAC-16.3_IAC-16.3_A01", + "prose": "privilege change requests require additional levels of authentication (e.g., authentication prompt)." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#IAC-16" + } + ] + }, + { + "id": "IAC-16.4", + "title": "Dedicated Privileged Account", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to assign dedicated privileged user accounts to be used solely for duties requiring privileged access." + }, + { + "name": "assessment-objective", + "id": "IAC-16.4_IAC-16.4_A01", + "prose": "designated privileged user accounts are controlled to be used solely for duties requiring privileged access." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#IAC-16" + } + ] + }, + { + "id": "IAC-16.5", + "title": "Manual Override", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to enable a manual override of the current account privileges to enable the timely response to unusual conditions without terminating the current session and establishing a new session as a higher-privileged user." + }, + { + "name": "assessment-objective", + "id": "IAC-16.5_IAC-16.5_A01", + "prose": "instances that require a manual override of the current account privileges to enable the timely response to unusual conditions without terminating the current session and establishing a new session as a higher-privileged user are identified." + }, + { + "name": "assessment-objective", + "id": "IAC-16.5_IAC-16.5_A02", + "prose": "processes/technologies necessary to enable a manual override of the current account privileges to enable the timely response to unusual conditions without terminating the current session and establishing a new session as a higher-privileged user are identified." + }, + { + "name": "assessment-objective", + "id": "IAC-16.5_IAC-16.5_A03", + "prose": "a capability exists to manually override of the current account privileges to enable the timely response to unusual conditions without terminating the current session and establishing a new session as a higher-privileged user." + }, + { + "name": "overview", + "class": "errata", + "prose": "- new control (IEC 62443-4-2)" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-2.1-re-3" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-2.1-3" + }, + { + "rel": "part-of", + "href": "#IAC-16" + } + ] + }, + { + "id": "IAC-17", + "title": "Periodic Review of Account Privileges", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IAC-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to periodically-review the privileges assigned to individuals and service accounts to validate the need for such privileges and reassign or remove unnecessary privileges, as necessary." + }, + { + "name": "assessment-objective", + "id": "IAC-17_IAC-17_A01", + "prose": "the frequency at which to review the privileges assigned to roles or classes of users is defined." + }, + { + "name": "assessment-objective", + "id": "IAC-17_IAC-17_A02", + "prose": "roles or classes of users to which privileges are assigned are defined." + }, + { + "name": "assessment-objective", + "id": "IAC-17_IAC-17_A03", + "prose": "the privileges assigned to roles or classes of users are reviewed to validate the need for such privileges." + }, + { + "name": "assessment-objective", + "id": "IAC-17_IAC-17_A04", + "prose": "privileges are reassigned or removed, as necessary." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:iam-08" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:iam-09" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:iam-10" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:iam-11" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:iam-02" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.15" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.18" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_9.1.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_9.2.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_9.2.5" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_9.2.6" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.15" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.18" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ac-6-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-06-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:ac-06-07" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.308-a-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-06-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ac-06-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ac-06-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:ac-06-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.01.g.03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.05.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.05.d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.10.01.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.10.01.d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.05.odp-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.05.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.05.d" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a01-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_7.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_7.2.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:a3.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_7.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_7.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_7.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_7.2.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_7.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_7.2.5.1" + } + ] + }, + { + "id": "IAC-18", + "title": "User Responsibilities for Account Management", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to compel users to follow accepted practices in the use of authentication mechanisms (e.g., passwords, passphrases, physical or logical security tokens, smart cards, certificates, etc.)." + }, + { + "name": "assessment-objective", + "id": "IAC-18_IAC-18_A01", + "prose": "authenticators are protected commensurate with the security category of the information to which use of the authenticator permits access." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.17" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_9.2.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_9.3.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.17" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ia-5-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ia-05-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ia-05-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:ia-05-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ia-05-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ia-05-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ia-05-06" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.3.11" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.3.11" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.3.11" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.3.11" + } + ] + }, + { + "id": "IAC-19", + "title": "Credential Sharing", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to prevent the sharing of generic IDs, passwords or other generic authentication methods." + }, + { + "name": "assessment-objective", + "id": "IAC-19_IAC-19_A01", + "prose": "the sharing of generic IDs, passwords or other generic authentication methods is prevented." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.18" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.18" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_8.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_8.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_8.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.6.1" + } + ] + }, + { + "id": "IAC-20", + "title": "Access Enforcement", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IAC-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to enforce Logical Access Control (LAC) permissions that conform to the principle of \"least privilege.\"" + }, + { + "name": "assessment-objective", + "id": "IAC-20_IAC-20_A01", + "prose": "approved authorizations for logical access to information and system resources are enforced in accordance with applicable access control policies." + }, + { + "name": "assessment-objective", + "id": "IAC-20_IAC-20_A02", + "prose": "the principle of least privilege is employed, allowing only authorized access for users (or processes acting on behalf of users) that are necessary to accomplish assigned organizational tasks." + }, + { + "name": "assessment-objective", + "id": "IAC-20_IAC-20_A03", + "prose": "authorized users are identified." + }, + { + "name": "assessment-objective", + "id": "IAC-20_IAC-20_A04", + "prose": "processes acting on behalf of authorized users are identified." + }, + { + "name": "assessment-objective", + "id": "IAC-20_IAC-20_A05", + "prose": "devices (including other systems) authorized to connect to the system are identified." + }, + { + "name": "assessment-objective", + "id": "IAC-20_IAC-20_A06", + "prose": "system access is limited to authorized users." + }, + { + "name": "assessment-objective", + "id": "IAC-20_IAC-20_A07", + "prose": "system access is limited to processes acting on behalf of authorized users." + }, + { + "name": "assessment-objective", + "id": "IAC-20_IAC-20_A08", + "prose": "system access is limited to authorized devices (including other systems)." + }, + { + "name": "assessment-objective", + "id": "IAC-20_IAC-20_A09", + "prose": "systems and system components included in the scope of the specified enhanced security requirements are identified." + }, + { + "name": "assessment-objective", + "id": "IAC-20_IAC-20_A10", + "prose": "systems and system components are included in the scope of the specified enhanced security requirements." + }, + { + "name": "assessment-objective", + "id": "IAC-20_IAC-20_A11", + "prose": "systems and system components that are not included in systems and system components are segregated in purpose-specific networks." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss05.04" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:user-2.1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-2.1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-2.1-re-1" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.18" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_9.2.6" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ac-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ac-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ac-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ac-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ac-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:ac-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ac-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ac-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ac-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ac-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ac-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:ac-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ac-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ac-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:ac-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:ac-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ac-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ac-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.1.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.01.c.03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.01.d.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.01.d.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.04.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.05.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.05.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.06.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.09.02.b.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.1-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.1-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.1-c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.1-d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.1-e" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.1-f" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a01-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_7.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_7.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_7.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_7.2.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_7.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_7.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_7.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_7.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_7.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_7.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_7.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_7.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_7.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_7.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_7.2.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_7.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_7.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_7.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_7.2.6" + } + ] + }, + { + "id": "IAC-20.1", + "title": "Access To Sensitive / Regulated Data", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IAC-20.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to limit access to sensitive/regulated data to only those individuals whose job requires such access." + }, + { + "name": "assessment-objective", + "id": "IAC-20.1_IAC-20.1_A01", + "prose": "access to sensitive / regulated data is restricted to only those individuals whose job requires such access." + }, + { + "name": "assessment-objective", + "id": "IAC-20.1_IAC-20.1_A02", + "prose": "access to is authorized." + }, + { + "name": "assessment-objective", + "id": "IAC-20.1_IAC-20.1_A03", + "prose": "access to is authorized." + }, + { + "name": "assessment-objective", + "id": "IAC-20.1_IAC-20.1_A04", + "prose": "the incident response plan is protected from unauthorized disclosure." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dsp-17" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.18" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.01.c.03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.01.d.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.01.d.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.04.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.05.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.06.05.d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.10.01.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.05.b-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.05.b-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.06.05.d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-3" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a01-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_7.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_7.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_7.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_7.2.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_7.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_7.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_7.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_7.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_7.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_7.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_7.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_7.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_7.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_7.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_7.2.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_7.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_7.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_7.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_7.2.6" + }, + { + "rel": "part-of", + "href": "#IAC-20" + } + ] + }, + { + "id": "IAC-20.2", + "title": "Database Access", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to restrict access to databases containing sensitive/regulated data to only necessary Technology Assets, Applications and/or Services (TAAS) or those individuals whose job requires such access." + }, + { + "name": "assessment-objective", + "id": "IAC-20.2_IAC-20.2_A01", + "prose": "access to database containing sensitive / regulated data is restricted to only necessary services or those individuals whose job requires such access." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.18" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.18" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a01-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_7.2.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_7.2.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_7.2.6" + }, + { + "rel": "part-of", + "href": "#IAC-20" + } + ] + }, + { + "id": "IAC-20.3", + "title": "Use of Privileged Utility Programs", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to restrict and tightly control utility programs that are capable of overriding system and application controls." + }, + { + "name": "assessment-objective", + "id": "IAC-20.3_IAC-20.3_A01", + "prose": "access to utility programs that are capable of overriding system and application controls is restricted." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:iam-04" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.18" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.18" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_9.4.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.18" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.18" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a01-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.6.1" + }, + { + "rel": "part-of", + "href": "#IAC-20" + } + ] + }, + { + "id": "IAC-20.4", + "title": "Dedicated Administrative Machines", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to restrict executing administrative tasks or tasks requiring elevated access to a dedicated machine." + }, + { + "name": "assessment-objective", + "id": "IAC-20.4_IAC-20.4_A01", + "prose": "executing administrative tasks or tasks requiring elevated access is restricted to a dedicated machine." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_12.8" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_12.8" + }, + { + "rel": "part-of", + "href": "#IAC-20" + } + ] + }, + { + "id": "IAC-20.5", + "title": "Dual Authorization for Privileged Commands", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IAC-20.5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to enforce dual authorization for privileged commands." + }, + { + "name": "assessment-objective", + "id": "IAC-20.5_IAC-20.5_A01", + "prose": "privileged commands and/or other actions requiring dual authorization are defined." + }, + { + "name": "assessment-objective", + "id": "IAC-20.5_IAC-20.5_A02", + "prose": "dual authorization is enforced for organization-defined privileged commands and/or other actions." + }, + { + "name": "assessment-objective", + "id": "IAC-20.5_IAC-20.5_A03", + "prose": "critical or sensitive system and organizational operations for which dual authorization is to be enforced are identified." + }, + { + "name": "assessment-objective", + "id": "IAC-20.5_IAC-20.5_A04", + "prose": "dual authorization is employed to execute critical or sensitive system and organizational operations." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:user-2.3" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:user-2.4" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-2.1-re-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ac-3-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-03-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ac-03-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-03-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:ac-03-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.1.1e" + }, + { + "rel": "part-of", + "href": "#IAC-20" + } + ] + }, + { + "id": "IAC-20.6", + "title": "Revocation of Access Authorizations", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to revoke logical and physical access authorizations." + }, + { + "name": "assessment-objective", + "id": "IAC-20.6_IAC-20.6_A01", + "prose": "rules governing the timing of revocations of access authorizations are defined." + }, + { + "name": "assessment-objective", + "id": "IAC-20.6_IAC-20.6_A02", + "prose": "revocation of access authorizations is enforced, resulting from changes to the cybersecurity / data privacy attributes of subjects based on organization-defined rules." + }, + { + "name": "assessment-objective", + "id": "IAC-20.6_IAC-20.6_A03", + "prose": "revocation of access authorizations is enforced resulting from changes to the cybersecurity / data privacy attributes of objects based on organization-defined rules." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-03-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-03-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ac-3-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ac-3-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ac-3-8" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_8.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_8.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.2.5" + }, + { + "rel": "part-of", + "href": "#IAC-20" + } + ] + }, + { + "id": "IAC-20.7", + "title": "Authorized System Accounts", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to define and document the types of accounts allowed and prohibited on Technology Assets, Applications and/or Services (TAAS)." + }, + { + "name": "assessment-objective", + "id": "IAC-20.7_IAC-20.7_A01", + "prose": "the types of accounts allowed on systems, applications and services is/are defined and documented." + }, + { + "name": "assessment-objective", + "id": "IAC-20.7_IAC-20.7_A02", + "prose": "the types of accounts prohibited on systems, applications and services is/are defined and documented." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#IAC-20" + } + ] + }, + { + "id": "IAC-21", + "title": "Least Privilege", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IAC-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to utilize the concept of least privilege, allowing only authorized access to processes necessary to accomplish assigned tasks in accordance with organizational business functions." + }, + { + "name": "assessment-objective", + "id": "IAC-21_IAC-21_A01", + "prose": "organization-defined systems or system components implement the security design principle of least privilege." + }, + { + "name": "assessment-objective", + "id": "IAC-21_IAC-21_A02", + "prose": "privileged accounts are identified." + }, + { + "name": "assessment-objective", + "id": "IAC-21_IAC-21_A03", + "prose": "access to privileged accounts is authorized in accordance with the principle of least privilege." + }, + { + "name": "assessment-objective", + "id": "IAC-21_IAC-21_A04", + "prose": "systems or system components that implement the security design principle of least privilege are defined." + }, + { + "name": "assessment-objective", + "id": "IAC-21_IAC-21_A05", + "prose": "approved authorizations for logical access to system resources are enforced in accordance with applicable access control policies." + }, + { + "name": "assessment-objective", + "id": "IAC-21_IAC-21_A06", + "prose": "system access for users (or processes acting on behalf of users) is authorized only when necessary to accomplish assigned organizational tasks." + }, + { + "name": "assessment-objective", + "id": "IAC-21_IAC-21.1_A01", + "prose": "security functions are identified." + }, + { + "name": "assessment-objective", + "id": "IAC-21_IAC-21.1_A02", + "prose": "access to security functions is authorized in accordance with the principle of least privilege." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_5.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_5.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_5.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_5.4" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:iam-05" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:iam-13" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:iam-06" + }, + { + "rel": "mapped-to", + "href": "#iec-tr-60601-4-5-2021:_4.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.15" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.18" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.12" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_9.1.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_9.1.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_9.2.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_9.2.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.15" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.18" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.12" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:pr.ac-p4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ac-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-08-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ac-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:ac-06" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.308-a-3" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.312-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-08-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ac-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ac-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:ac-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ac-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.1.5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.01.c.03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.01.d.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.01.d.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.04.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.05.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.05.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.06.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.07.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.03.08.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.03.08.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.5-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.5-c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.5-d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.05.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-3" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.aa-05" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ds-10" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a01-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_3.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_3.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_7.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_7.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_7.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_7.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_7.2.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_7.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_7.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_7.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_7.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_7.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_7.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_7.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_7.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_7.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_3.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_7.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_7.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_7.2.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_7.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_7.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_7.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_3.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_7.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_7.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_7.2.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_7.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_7.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_7.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.6.1" + } + ] + }, + { + "id": "IAC-21.1", + "title": "Authorize Access to Security Functions", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to limit access to security functions to explicitly-authorized privileged users." + }, + { + "name": "assessment-objective", + "id": "IAC-21.1_IAC-21.1_A03", + "prose": "individuals and roles with authorized access to security functions and security-relevant information are defined." + }, + { + "name": "assessment-objective", + "id": "IAC-21.1_IAC-21.1_A04", + "prose": "security functions (deployed in hardware) for authorized access are defined." + }, + { + "name": "assessment-objective", + "id": "IAC-21.1_IAC-21.1_A05", + "prose": "security functions (deployed in software) for authorized access are defined." + }, + { + "name": "assessment-objective", + "id": "IAC-21.1_IAC-21.1_A06", + "prose": "security functions (deployed in firmware) for authorized access are defined." + }, + { + "name": "assessment-objective", + "id": "IAC-21.1_IAC-21.1_A07", + "prose": "security-relevant information for authorized access is defined." + }, + { + "name": "assessment-objective", + "id": "IAC-21.1_IAC-21.1_A08", + "prose": "access is authorized for organization-defined individuals and roles to organization-defined security functions (deployed in hardware)." + }, + { + "name": "assessment-objective", + "id": "IAC-21.1_IAC-21.1_A09", + "prose": "access is authorized for organization-defined individuals and roles to organization-defined security functions (deployed in software)." + }, + { + "name": "assessment-objective", + "id": "IAC-21.1_IAC-21.1_A10", + "prose": "access is authorized for organization-defined individuals and roles to organization-defined security functions (deployed in firmware)." + }, + { + "name": "assessment-objective", + "id": "IAC-21.1_IAC-21.1_A11", + "prose": "access is authorized for organization-defined individuals and roles to organization-defined security-relevant information." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:iam-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ac-6-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-06-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:ac-06-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-06-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ac-06-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ac-06-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:ac-06-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.1.5" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a01-2025" + }, + { + "rel": "part-of", + "href": "#IAC-21" + } + ] + }, + { + "id": "IAC-21.2", + "title": "Non-Privileged Access for Non-Security Functions", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IAC-21.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to prohibit privileged users from using privileged accounts, while performing non-security functions." + }, + { + "name": "assessment-objective", + "id": "IAC-21.2_IAC-21.2_A01", + "prose": "non-security functions are identified." + }, + { + "name": "assessment-objective", + "id": "IAC-21.2_IAC-21.2_A02", + "prose": "users (or roles) with privileged accounts are required to use non-privileged accounts when accessing non-security functions or non-security information." + }, + { + "name": "assessment-objective", + "id": "IAC-21.2_IAC-21.2_A03", + "prose": "security functions or security-relevant information, the access to which requires users to use non-privileged accounts to access non-security functions, are defined." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_5.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_5.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_5.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_5.4" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:iam-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ac-6-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-06-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:ac-06-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-06-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ac-06-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ac-06-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:ac-06-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.1.6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.06.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.6-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.6-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.06.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-3" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a01-2025" + }, + { + "rel": "part-of", + "href": "#IAC-21" + } + ] + }, + { + "id": "IAC-21.3", + "title": "Management Approval For Privileged Accounts", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IAC-21.3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to restrict the assignment of privileged accounts to management-approved personnel and/or roles." + }, + { + "name": "assessment-objective", + "id": "IAC-21.3_IAC-21.3_A01", + "prose": "personnel or roles to which privileged accounts on the system are to be restricted are defined." + }, + { + "name": "assessment-objective", + "id": "IAC-21.3_IAC-21.3_A02", + "prose": "privileged accounts on the system are restricted to ." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:iam-09" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.18" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_9.2.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.18" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ac-6-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-06-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:ac-06-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-06-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ac-06-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ac-06-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:ac-06-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.1.5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.06.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.07.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.06.odp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.06.a" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a01-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_7.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_7.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_7.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_7.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_7.2.3" + }, + { + "rel": "part-of", + "href": "#IAC-21" + } + ] + }, + { + "id": "IAC-21.4", + "title": "Auditing Use of Privileged Functions", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IAC-21.4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to audit the execution of privileged functions." + }, + { + "name": "assessment-objective", + "id": "IAC-21.4_IAC-21.4_A01", + "prose": "the execution of privileged functions is logged." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:iam-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ac-6-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-06-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:ac-06-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-06-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ac-06-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ac-06-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.1.7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.07.b" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a01-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.2.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.2.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_10.2.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.2.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.2.1.2" + }, + { + "rel": "part-of", + "href": "#IAC-21" + } + ] + }, + { + "id": "IAC-21.5", + "title": "Prohibit Non-Privileged Users from Executing Privileged Functions", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IAC-21.5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to prevent non-privileged users from executing privileged functions to include disabling, circumventing or altering implemented security safeguards / countermeasures." + }, + { + "name": "assessment-objective", + "id": "IAC-21.5_IAC-21.5_A01", + "prose": "privileged functions are defined." + }, + { + "name": "assessment-objective", + "id": "IAC-21.5_IAC-21.5_A02", + "prose": "non-privileged users are defined." + }, + { + "name": "assessment-objective", + "id": "IAC-21.5_IAC-21.5_A03", + "prose": "non-privileged users are prevented from executing privileged functions." + }, + { + "name": "assessment-objective", + "id": "IAC-21.5_IAC-21.5_A04", + "prose": "the execution of privileged functions is captured in event logs." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:iam-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ac-6-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-06-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:ac-06-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-06-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ac-06-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ac-06-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:ac-06-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.1.7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.07.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.7-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.7-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.7-c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.7-d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.07.a" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a01-2025" + }, + { + "rel": "part-of", + "href": "#IAC-21" + } + ] + }, + { + "id": "IAC-21.6", + "title": "Network Access to Privileged Commands", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to authorize remote access to perform privileged commands on critical Technology Assets, Applications and/or Services (TAAS) or where sensitive/regulated data is stored, transmitted and/or processed only for compelling operational needs." + }, + { + "name": "assessment-objective", + "id": "IAC-21.6_IAC-21.6_A01", + "prose": "privileged commands to which network access is to be authorized only for compelling operational needs are defined." + }, + { + "name": "assessment-objective", + "id": "IAC-21.6_IAC-21.6_A02", + "prose": "network access to organization-defined privileged commands is authorized only for organization-defined compelling operational needs." + }, + { + "name": "assessment-objective", + "id": "IAC-21.6_IAC-21.6_A03", + "prose": "compelling operational needs necessitating network access to privileged commands are defined." + }, + { + "name": "assessment-objective", + "id": "IAC-21.6_IAC-21.6_A04", + "prose": "the rationale for authorizing network access to privileged commands is documented in the security plan for the system." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ac-6-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-06-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:ac-06-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-06-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:ac-06-03" + }, + { + "rel": "part-of", + "href": "#IAC-21" + } + ] + }, + { + "id": "IAC-21.7", + "title": "Privilege Levels for Code Execution", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to prevent applications from executing at higher privilege levels than the user's privileges." + }, + { + "name": "assessment-objective", + "id": "IAC-21.7_IAC-21.7_A01", + "prose": "software to be prevented from executing at higher privilege levels than users executing the software is defined." + }, + { + "name": "assessment-objective", + "id": "IAC-21.7_IAC-21.7_A02", + "prose": "organization-defined software is prevented from executing at higher privilege levels than users executing the software." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ac-6-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-06-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-06-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:ac-06-08" + }, + { + "rel": "part-of", + "href": "#IAC-21" + } + ] + }, + { + "id": "IAC-22", + "title": "Account Lockout", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IAC-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to enforce a limit for consecutive invalid login attempts by a user during an organization-defined time period and automatically locks the account when the maximum number of unsuccessful attempts is exceeded." + }, + { + "name": "assessment-objective", + "id": "IAC-22_IAC-22_A01", + "prose": "the means of limiting unsuccessful logon attempts is defined." + }, + { + "name": "assessment-objective", + "id": "IAC-22_IAC-22_A02", + "prose": "the defined means of limiting unsuccessful logon attempts is implemented." + }, + { + "name": "assessment-objective", + "id": "IAC-22_IAC-22_A03", + "prose": "the number of consecutive invalid logon attempts by a user allowed during a time period is defined." + }, + { + "name": "assessment-objective", + "id": "IAC-22_IAC-22_A04", + "prose": " when the maximum number of unsuccessful attempts is exceeded." + }, + { + "name": "assessment-objective", + "id": "IAC-22_IAC-22_A05", + "prose": "the time period to which the number of consecutive invalid logon attempts by a user is limited is defined." + }, + { + "name": "assessment-objective", + "id": "IAC-22_IAC-22_A06", + "prose": "the time period for an account or node to be locked is defined (if selected)." + }, + { + "name": "assessment-objective", + "id": "IAC-22_IAC-22_A07", + "prose": "delay algorithm for the next logon prompt is defined." + }, + { + "name": "assessment-objective", + "id": "IAC-22_IAC-22_A08", + "prose": "other action to be taken when the maximum number of unsuccessful attempts is exceeded is defined." + }, + { + "name": "assessment-objective", + "id": "IAC-22_IAC-22_A09", + "prose": "a limit of consecutive invalid logon attempts by a user during is enforced." + }, + { + "name": "assessment-objective", + "id": "IAC-22_IAC-22_A10", + "prose": "one or more of the following PARAMETER VALUES are selected: {the account or node is locked automatically for ; the account or node is locked automatically until released by an administrator; the next logon prompt is delayed automatically; the system administrator is notified automatically; other action is taken automatically}." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_4.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_4.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_4.1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:user-1.15" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-1.11" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-1.11" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-1.11-a" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-1.11-b" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_6.2.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ac-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ac-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ac-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ac-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ac-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.1.8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.08.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.08.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.8-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.8-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.08.odp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.08.odp-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.08.odp-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.08.odp-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.08.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.08.b" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.3.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.3.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.3.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.3.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.3.4" + } + ] + }, + { + "id": "IAC-23", + "title": "Concurrent Session Control", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to limit the number of concurrent sessions for each system account." + }, + { + "name": "assessment-objective", + "id": "IAC-23_IAC-23_A01", + "prose": "accounts and/or account types for which to limit the number of concurrent sessions is defined." + }, + { + "name": "assessment-objective", + "id": "IAC-23_IAC-23_A02", + "prose": "the number of concurrent sessions to be allowed for each account and/or account type is defined." + }, + { + "name": "assessment-objective", + "id": "IAC-23_IAC-23_A03", + "prose": "the number of concurrent sessions for each organization-defined account and/or account types is limited to organization-defined number." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:user-1.17" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-2.7" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-2.7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ac-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:ac-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ac-10" + } + ] + }, + { + "id": "IAC-24", + "title": "Session Lock", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IAC-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to initiate a session lock after an organization-defined time period of inactivity, or upon receiving a request from a user and retain the session lock until the user reestablishes access using established identification and authentication methods." + }, + { + "name": "assessment-objective", + "id": "IAC-24_IAC-24_A01", + "prose": "the period of inactivity after which the system initiates a session lock is defined." + }, + { + "name": "assessment-objective", + "id": "IAC-24_IAC-24_A02", + "prose": "access to the system and viewing of data is prevented by initiating a session lock after the defined period of inactivity." + }, + { + "name": "assessment-objective", + "id": "IAC-24_IAC-24_A03", + "prose": "previously visible information is concealed via a pattern-hiding display after the defined period of inactivity." + }, + { + "name": "assessment-objective", + "id": "IAC-24_IAC-24_A04", + "prose": "the time period of expected inactivity or description of when to log out is defined." + }, + { + "name": "assessment-objective", + "id": "IAC-24_IAC-24_A05", + "prose": "users are required to log out when organization-defined time period of expected inactivity or description of when to log out." + }, + { + "name": "assessment-objective", + "id": "IAC-24_IAC-24_A06", + "prose": "the time period of inactivity after which a device lock is initiated is defined (if selected)." + }, + { + "name": "assessment-objective", + "id": "IAC-24_IAC-24_A07", + "prose": "access to the system is prevented by ." + }, + { + "name": "assessment-objective", + "id": "IAC-24_IAC-24_A08", + "prose": "the device lock is retained until the user reestablishes access using established identification and authentication procedures." + }, + { + "name": "assessment-objective", + "id": "IAC-24_IAC-24_A09", + "prose": "one or more of the following PARAMETER VALUES are selected: {a device lock is initiated after of inactivity; the user is required to initiate a device lock before leaving the system unattended}." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_4.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_4.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_4.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_4.3" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:uem-06" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:user-1.18" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-2.5" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-2.5" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-2.5-a" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-2.5-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ac-2-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ac-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-02-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:ac-02-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:ac-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-02-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ac-02-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ac-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ac-02-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ac-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.1.10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.10.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.10.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.10-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.10-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.10-c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.10.odp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.10.odp-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.10.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.10.b" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a01-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.2.8" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.2.8" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.2.8" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.2.8" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.2.8" + } + ] + }, + { + "id": "IAC-24.1", + "title": "Pattern-Hiding Displays", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IAC-24.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to implement pattern-hiding displays to conceal information previously visible on the display during the session lock." + }, + { + "name": "assessment-objective", + "id": "IAC-24.1_IAC-24.1_A01", + "prose": "information previously visible on the display is concealed via device lock with a publicly viewable image." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:uem-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ac-11-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-11-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:ac-11-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-11-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ac-11-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ac-11-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.1.10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.10.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.10.c" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a01-2025" + }, + { + "rel": "part-of", + "href": "#IAC-24" + } + ] + }, + { + "id": "IAC-25", + "title": "Session Termination", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IAC-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to log out users, both locally on the network and for remote sessions, at the end of the session or after an organization-defined period of inactivity." + }, + { + "name": "assessment-objective", + "id": "IAC-25_IAC-25_A01", + "prose": "conditions requiring a user session to terminate are defined." + }, + { + "name": "assessment-objective", + "id": "IAC-25_IAC-25_A02", + "prose": "conditions or trigger events that require session disconnect are defined." + }, + { + "name": "assessment-objective", + "id": "IAC-25_IAC-25_A03", + "prose": "a user session is automatically terminated after any of the defined conditions occur." + }, + { + "name": "assessment-objective", + "id": "IAC-25_IAC-25_A04", + "prose": "the time period of expected inactivity requiring users to log out of the system is defined." + }, + { + "name": "assessment-objective", + "id": "IAC-25_IAC-25_A05", + "prose": "circumstances requiring users to log out of the system are defined." + }, + { + "name": "assessment-objective", + "id": "IAC-25_IAC-25_A06", + "prose": "users are required to log out of the system after of expected inactivity or when the following circumstances occur: ." + }, + { + "name": "assessment-objective", + "id": "IAC-25_IAC-25_A07", + "prose": "session connections are terminated when nonlocal maintenance is completed." + }, + { + "name": "assessment-objective", + "id": "IAC-25_IAC-25_A08", + "prose": "a user session is terminated automatically after ." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-2.6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ac-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:ac-12" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.312-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ac-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ac-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:ac-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.1.11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.01.h" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.07.05.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.11-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.11-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.01.odp-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.01.odp-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.01.h" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.11.odp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.07.05.c-01" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a01-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.2.8" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.2.8" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.2.8" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.2.8" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.2.8" + } + ] + }, + { + "id": "IAC-25.1", + "title": "User-Initiated Logouts / Message Displays", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to provide a logout capability and display an explicit logout message to users indicating the reliable termination of the session." + }, + { + "name": "assessment-objective", + "id": "IAC-25.1_IAC-25.1_A01", + "prose": "information resources for which a logout capability for user-initiated communications sessions is required are defined." + }, + { + "name": "assessment-objective", + "id": "IAC-25.1_IAC-25.1_A02", + "prose": "a logout capability is provided for user-initiated communications sessions whenever authentication is used to gain access to organization-defined information resources." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ac-12-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-12-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-12-01" + }, + { + "rel": "part-of", + "href": "#IAC-25" + } + ] + }, + { + "id": "IAC-26", + "title": "Permitted Actions Without Identification or Authorization", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to identify and document the supporting rationale for specific user actions that can be performed on a system without identification or authentication." + }, + { + "name": "assessment-objective", + "id": "IAC-26_IAC-26_A01", + "prose": "user actions that can be performed on the system without identification or authentication are defined." + }, + { + "name": "assessment-objective", + "id": "IAC-26_IAC-26_A02", + "prose": "organization-defined user actions that can be performed on the system without identification or authentication consistent with organizational mission and business functions are identified." + }, + { + "name": "assessment-objective", + "id": "IAC-26_IAC-26_A03", + "prose": "user actions not requiring identification or authentication are documented in the security plan for the system." + }, + { + "name": "assessment-objective", + "id": "IAC-26_IAC-26_A04", + "prose": "a rationale for user actions not requiring identification or authentication is provided in the security plan for the system." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ac-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ac-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ac-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ac-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ac-14" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a01-2025" + } + ] + }, + { + "id": "IAC-27", + "title": "Reference Monitor", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to implement a reference monitor that is tamperproof, always-invoked, small enough to be subject to analysis / testing and the completeness of which can be assured." + }, + { + "name": "assessment-objective", + "id": "IAC-27_IAC-27_A01", + "prose": "access control policies for which a reference monitor is implemented are defined." + }, + { + "name": "assessment-objective", + "id": "IAC-27_IAC-27_A02", + "prose": "a reference monitor is implemented for organization-defined access control policies that is tamper-proof, always invoked and small enough to be subject to analysis and testing, the completeness of which can be assured." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ac-25" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-25" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-25" + } + ] + }, + { + "id": "IAC-28", + "title": "Identity Proofing (Identity Verification)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IAC-28" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to verify the identity of a user before issuing authenticators or modifying access permissions." + }, + { + "name": "assessment-objective", + "id": "IAC-28_IAC-28_A01", + "prose": "users who require accounts for logical access to systems based on appropriate identity assurance level requirements as specified in applicable standards and guidelines are identity proofed." + }, + { + "name": "assessment-objective", + "id": "IAC-28_IAC-28_A02", + "prose": "user identities are resolved to a unique individual." + }, + { + "name": "assessment-objective", + "id": "IAC-28_IAC-28_A03", + "prose": "identity evidence is collected." + }, + { + "name": "assessment-objective", + "id": "IAC-28_IAC-28_A04", + "prose": "identity evidence is validated." + }, + { + "name": "assessment-objective", + "id": "IAC-28_IAC-28_A05", + "prose": "identity evidence is verified." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ia-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:ia-12" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.312-d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ia-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ia-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ia-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.12.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.12.c" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.aa-02" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.3.3" + } + ] + }, + { + "id": "IAC-28.1", + "title": "Management Approval For New or Changed Accounts", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IAC-28.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure management approvals are required for new accounts or changes in permissions to existing accounts." + }, + { + "name": "assessment-objective", + "id": "IAC-28.1_IAC-28.1_A01", + "prose": "the registration process to receive an account for logical access includes supervisor or sponsor authorization." + }, + { + "name": "assessment-objective", + "id": "IAC-28.1_IAC-28.1_A02", + "prose": "access control decisions applied to each access request prior to access enforcement are defined." + }, + { + "name": "assessment-objective", + "id": "IAC-28.1_IAC-28.1_A03", + "prose": "organization-defined criteria are taken into account to ensure that access control decisions are applied to each access request prior to access enforcement." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ac-24" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ia-4-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-24" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ia-12-01" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.308-a-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-24" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ia-12-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ia-12-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ac-24" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:ac-24" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:ac-24" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ac-24" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ac-24" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.01.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.05.05.a" + }, + { + "rel": "part-of", + "href": "#IAC-28" + } + ] + }, + { + "id": "IAC-28.2", + "title": "Identity Evidence", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to require evidence of individual identification to be presented to the registration authority." + }, + { + "name": "assessment-objective", + "id": "IAC-28.2_IAC-28.2_A01", + "prose": "evidence of individual identification is presented to the registration authority." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ia-12-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:ia-12-02" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.312-d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ia-12-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ia-12-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ia-12-02" + }, + { + "rel": "part-of", + "href": "#IAC-28" + } + ] + }, + { + "id": "IAC-28.3", + "title": "Identity Evidence Validation & Verification", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to require that the presented identity evidence be validated and verified through organizational-defined methods of validation and verification." + }, + { + "name": "assessment-objective", + "id": "IAC-28.3_IAC-28.3_A01", + "prose": "methods of validation and verification of identity evidence are defined." + }, + { + "name": "assessment-objective", + "id": "IAC-28.3_IAC-28.3_A02", + "prose": "the presented identity evidence is validated and verified through organization-defined methods of validation and verification." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ia-12-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:ia-12-03" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.312-d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ia-12-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ia-12-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ia-12-03" + }, + { + "rel": "part-of", + "href": "#IAC-28" + } + ] + }, + { + "id": "IAC-28.4", + "title": "In-Person Validation & Verification", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to require that the validation and verification of identity evidence be conducted in person before a designated registration authority." + }, + { + "name": "assessment-objective", + "id": "IAC-28.4_IAC-28.4_A01", + "prose": "the validation and verification of identity evidence is conducted in person before a designated registration authority." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ia-5-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ia-12-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ia-12-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:ia-12-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ia-12-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ia-12-04" + }, + { + "rel": "part-of", + "href": "#IAC-28" + } + ] + }, + { + "id": "IAC-28.5", + "title": "Address Confirmation", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to require that a notice of proofing be delivered through an out-of-band channel to verify the user's address (physical or digital)." + }, + { + "name": "assessment-objective", + "id": "IAC-28.5_IAC-28.5_A01", + "prose": "organization-defined criteria are delivered through an out-of-band channel to verify the user’s address (physical or digital) of record." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ia-12-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:ia-12-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ia-12-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ia-12-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ia-12-05" + }, + { + "rel": "part-of", + "href": "#IAC-28" + } + ] + }, + { + "id": "IAC-29", + "title": "Attribute-Based Access Control (ABAC)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to enforce Attribute-Based Access Control (ABAC) for policy-driven, dynamic authorizations that supports the secure sharing of information." + }, + { + "name": "assessment-objective", + "id": "IAC-29_IAC-29_A01", + "prose": "Attribute-Based Access Control (ABAC) is enforced for policy-driven, dynamic authorizations that supports the secure sharing of information." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:iam-01" + } + ] + }, + { + "id": "IAC-29.1", + "title": "Real-Time Access Decisions", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to utilize Machine Learning (ML) to make real-time access decisions based on advanced network analytics that leverages enterprise-wide data sources." + }, + { + "name": "assessment-objective", + "id": "IAC-29.1_IAC-29.1_A01", + "prose": "Machine Learning (ML) is used to make real-time access decisions based on advanced network analytics, leveraging enterprise-wide data sources." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#IAC-29" + } + ] + }, + { + "id": "IAC-29.2", + "title": "Access Profile Rules", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to develop access profile rules for sensitive/regulated Technology Assets, Applications, Services and/or Data (TAASD) access based on User, Data, Network, Environment & Device attributes." + }, + { + "name": "assessment-objective", + "id": "IAC-29.2_IAC-29.2_A01", + "prose": "access profile rules for sensitive/regulated Data, Assets, Applications & Services (DAAS) access are developed, based on User, Data, Network, Environment & Device attributes." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#IAC-29" + } + ] + }, + { + "id": "IAC-30", + "title": "Mutual Authentication (MA)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to enforce Mutual Authentication (MA) where both sides of a communications channel verify the identity of the other party through certificate exchange." + }, + { + "name": "assessment-objective", + "id": "IAC-30_IAC-30_A01", + "prose": "instances that require Mutual Authentication (MA) are identified, where both sides of a communications channel verify the identity of the other party through certificate exchange." + }, + { + "name": "assessment-objective", + "id": "IAC-30_IAC-30_A02", + "prose": "technologies to implement MA are identified." + }, + { + "name": "assessment-objective", + "id": "IAC-30_IAC-30_A03", + "prose": "technologies enforce MA, where required." + }, + { + "name": "overview", + "class": "errata", + "prose": "- new control (IEC 62443-2-1)" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:user-1.10" + } + ] + } + ] + }, + { + "id": "incident-response", + "title": "Incident Response", + "controls": [ + { + "id": "IRO-01", + "title": "Incident Response Operations", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IRO-01" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management", + "value": "3.5.4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.33", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.34", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.35", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.36", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.37", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.38", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.39", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to implement and govern processes and documentation to facilitate an organization-wide response capability for cybersecurity and data protection-related incidents." + }, + { + "name": "assessment-objective", + "id": "IRO-01_IRO-01_A01", + "prose": "the rigor of incident handling activities is comparable and predictable across the organization." + }, + { + "name": "assessment-objective", + "id": "IRO-01_IRO-01_A02", + "prose": "the intensity of incident handling activities is comparable and predictable across the organization." + }, + { + "name": "assessment-objective", + "id": "IRO-01_IRO-01_A03", + "prose": "the scope of incident handling activities is comparable and predictable across the organization." + }, + { + "name": "assessment-objective", + "id": "IRO-01_IRO-01_A04", + "prose": "the results of incident handling activities are comparable and predictable across the organization." + }, + { + "name": "assessment-objective", + "id": "IRO-01_IRO-01_A05", + "prose": "incident handling activities are coordinated with contingency planning activities." + }, + { + "name": "assessment-objective", + "id": "IRO-01_IRO-01_A06", + "prose": "an operational incident-handling capability is established." + }, + { + "name": "assessment-objective", + "id": "IRO-01_IRO-01_A07", + "prose": "the operational incident-handling capability includes preparation." + }, + { + "name": "assessment-objective", + "id": "IRO-01_IRO-01_A08", + "prose": "the operational incident-handling capability includes detection and analysis." + }, + { + "name": "assessment-objective", + "id": "IRO-01_IRO-01_A09", + "prose": "the operational incident-handling capability includes containment." + }, + { + "name": "assessment-objective", + "id": "IRO-01_IRO-01_A10", + "prose": "the operational incident-handling capability includes eradication." + }, + { + "name": "assessment-objective", + "id": "IRO-01_IRO-01_A11", + "prose": "the operational incident-handling capability includes recovery." + }, + { + "name": "assessment-objective", + "id": "IRO-01_IRO-01_A12", + "prose": "lessons learned from ongoing incident handling activities are incorporated into incident response procedures, training, and testing." + }, + { + "name": "assessment-objective", + "id": "IRO-01_IRO-01_A13", + "prose": "the changes resulting from the incorporated lessons learned are implemented accordingly." + }, + { + "name": "assessment-objective", + "id": "IRO-01_IRO-01_A14", + "prose": "an incident-handling capability that is consistent with the incident response plan is implemented." + }, + { + "name": "assessment-objective", + "id": "IRO-01_IRO-01_A15", + "prose": "incident response management operations are conducted according to documented policies, standards, procedures and/or other organizational directives." + }, + { + "name": "assessment-objective", + "id": "IRO-01_IRO-01_A16", + "prose": "adequate resources (e.g., people, processes, technologies, data and/or facilities) are provided to support incident response management operations." + }, + { + "name": "assessment-objective", + "id": "IRO-01_IRO-01_A17", + "prose": "responsibility and authority for the performance of incident response management-related activities are assigned to designated personnel." + }, + { + "name": "assessment-objective", + "id": "IRO-01_IRO-01_A18", + "prose": "personnel performing incident response management-related activities have the skills and knowledge needed to perform their assigned duties." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_17.0" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_17.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_17.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_17.5" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss02.01" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:sef-01" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:imt-01" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:event-1.8" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-13-01" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-13-01-a" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-13-01-b" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-13-01-c" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-13-01-d" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-13-01-e" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-13-01-f" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-13-01-g" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.24" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_16.1.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.24" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-6.2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:manage-2.3" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:manage-2.4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ir-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ir-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ir-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ir-01" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.308-a-1" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.308-a-6" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.308-a-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ir-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ir-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ir-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ir-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ir-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:ir-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:ir-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:ir-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ir-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ir-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:nfo-ir-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.06.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.6.1-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.6.1-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.6.1-c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.6.1-d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.6.1-e" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.6.1-f" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.06.01-01" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-08" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:de.ae" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:rs" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:rs.mi" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.7.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.7.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.7.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.10" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:a3.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.7.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.7.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.7.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.7.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.7.3" + } + ] + }, + { + "id": "IRO-02", + "title": "Incident Handling", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IRO-02" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management", + "value": "3.5.4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to cover:\r\n(1) Preparation;\r\n(2) Automated event detection or manual incident report intake;\r\n(3) Analysis;\r\n(4) Containment;\r\n(5) Eradication; and\r\n(6) Recovery." + }, + { + "name": "assessment-objective", + "id": "IRO-02_IRO-02_A01", + "prose": "an incident handling capability for incidents is implemented that is consistent with the incident response plan." + }, + { + "name": "assessment-objective", + "id": "IRO-02_IRO-02_A02", + "prose": "the incident handling capability includes preparation." + }, + { + "name": "assessment-objective", + "id": "IRO-02_IRO-02_A03", + "prose": "the incident handling capability includes detection and analysis." + }, + { + "name": "assessment-objective", + "id": "IRO-02_IRO-02_A04", + "prose": "the incident handling capability includes containment." + }, + { + "name": "assessment-objective", + "id": "IRO-02_IRO-02_A05", + "prose": "the incident handling capability includes eradication." + }, + { + "name": "assessment-objective", + "id": "IRO-02_IRO-02_A06", + "prose": "the incident handling capability includes recovery." + }, + { + "name": "assessment-objective", + "id": "IRO-02_IRO-02_A07", + "prose": "incident handling activities are coordinated with contingency planning activities." + }, + { + "name": "assessment-objective", + "id": "IRO-02_IRO-02_A08", + "prose": "the operational incident-handling capability includes user response activities." + }, + { + "name": "assessment-objective", + "id": "IRO-02_IRO-02_A09", + "prose": "authorities to whom incidents are to be reported are identified." + }, + { + "name": "assessment-objective", + "id": "IRO-02_IRO-02_A10", + "prose": "organizational officials to whom incidents are to be reported are identified." + }, + { + "name": "assessment-objective", + "id": "IRO-02_IRO-02_A11", + "prose": "identified authorities are notified of incidents." + }, + { + "name": "assessment-objective", + "id": "IRO-02_IRO-02_A12", + "prose": "identified organizational officials are notified of incidents." + }, + { + "name": "assessment-objective", + "id": "IRO-02_IRO-02_A13", + "prose": "incidents are tracked." + }, + { + "name": "assessment-objective", + "id": "IRO-02_IRO-02_A14", + "prose": "incidents are documented." + }, + { + "name": "assessment-objective", + "id": "IRO-02_IRO-02_A15", + "prose": "lessons learned from ongoing incident handling activities are incorporated into incident response procedures, training and testing." + }, + { + "name": "assessment-objective", + "id": "IRO-02_IRO-02_A16", + "prose": "the changes resulting from the incorporated lessons learned are implemented accordingly." + }, + { + "name": "assessment-objective", + "id": "IRO-02_IRO-02_A17", + "prose": "the rigor of incident handling activities is comparable and predictable across the organization." + }, + { + "name": "assessment-objective", + "id": "IRO-02_IRO-02_A18", + "prose": "the intensity of incident handling activities is comparable and predictable across the organization." + }, + { + "name": "assessment-objective", + "id": "IRO-02_IRO-02_A19", + "prose": "the scope of incident handling activities is comparable and predictable across the organization." + }, + { + "name": "assessment-objective", + "id": "IRO-02_IRO-02_A20", + "prose": "the results of incident handling activities are comparable and predictable across the organization." + }, + { + "name": "assessment-objective", + "id": "IRO-02_IRO-02_A21", + "prose": "suspected incidents are reported to the organizational incident response capability within an organization-defined time period." + }, + { + "name": "assessment-objective", + "id": "IRO-02_IRO-02_A22", + "prose": "suspected incidents are reported to the organizational incident response capability within ." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:respond" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_2.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_17.0" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_17.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_17.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_17.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_17.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_17.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_17.9" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_2.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_17.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_17.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_2.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_17.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_17.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_17.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_17.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_17.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_2.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_17.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_17.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_17.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_17.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_17.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_17.9" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss02.01" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss02.02" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss02.03" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss02.04" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss02.05" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss02.06" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss03.02" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:sef-03" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:sef-06" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:sef-07" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:iam-08" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:iam-09" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:imt-01" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:mon-02" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:event-1.8" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.24" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.25" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.26" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_6.8" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_16.1.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_16.1.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_16.1.5" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.24" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.25" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.26" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_6.8" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.3.3" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-6.2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:manage-2.3" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:manage-2.4" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:gv.mt-p5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ir-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ir-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ir-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ir-04" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.308-a-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ir-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ir-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ir-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ir-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ir-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.6.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.6.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.03.04.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.06.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.06.02.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.06.02.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.06.02.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.06.02.d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.6.1-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.6.1-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.6.1-c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.6.1-d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.6.1-e" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.6.1-f" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.6.1-g" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.6.2-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.6.2-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.6.2-c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.6.2-d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.6.2-e" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.6.2-f" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.06.01-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.06.01-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.06.01-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.06.01-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.06.01-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.06.02.b" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-08" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:de.ae" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:de.ae-02" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:de.ae-03" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:de.ae-04" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:de.ae-06" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:de.ae-08" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:rs" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:rs.ma" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:rs.ma-01" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:rs.ma-02" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:rs.ma-04" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:rs.an" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:rs.an-06" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:rs.co" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:rs.co-02" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:rs.co-03" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:rs.mi" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:rs.mi-01" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:rs.mi-02" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:rc.rp-06" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.10" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.10.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:a3.3.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.10.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.10.5" + } + ] + }, + { + "id": "IRO-02.1", + "title": "Automated Incident Handling Processes", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to support the incident handling process." + }, + { + "name": "assessment-objective", + "id": "IRO-02.1_IRO-02.1_A01", + "prose": "anomalous or suspicious behavior is defined." + }, + { + "name": "assessment-objective", + "id": "IRO-02.1_IRO-02.1_A02", + "prose": "organizational systems and system components are monitored on an ongoing basis for anomalous or suspicious behavior." + }, + { + "name": "assessment-objective", + "id": "IRO-02.1_IRO-02.1_A03", + "prose": "automated mechanisms used to support the incident handling process are defined." + }, + { + "name": "assessment-objective", + "id": "IRO-02.1_IRO-02.1_A04", + "prose": "the incident handling process is supported using automated mechanisms." + }, + { + "name": "assessment-objective", + "id": "IRO-02.1_IRO-02.1_A05", + "prose": "incident response personnel (identified by name and/or by role) to be notified of detected suspicious events is/are defined." + }, + { + "name": "assessment-objective", + "id": "IRO-02.1_IRO-02.1_A06", + "prose": "least-disruptive actions to terminate suspicious events are defined." + }, + { + "name": "assessment-objective", + "id": "IRO-02.1_IRO-02.1_A07", + "prose": "incident response personnel are notified of detected suspicious events." + }, + { + "name": "assessment-objective", + "id": "IRO-02.1_IRO-02.1_A08", + "prose": "least-disruptive actions are taken upon the detection of suspicious events." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:respond" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:iam-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ir-4-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:si-4-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ir-04-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-04-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:si-04-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:ir-04-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ir-04-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-04-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ir-04-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ir-04-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:si-04-07" + }, + { + "rel": "part-of", + "href": "#IRO-02" + } + ] + }, + { + "id": "IRO-02.2", + "title": "Insider Threat Response Capability", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to implement and govern an insider threat program." + }, + { + "name": "assessment-objective", + "id": "IRO-02.2_IRO-02.2_A01", + "prose": "an incident handling capability is implemented for incidents involving insider threats." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ir-4-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ir-04-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ir-04-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ir-04-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ir-04-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ir-4-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ir-4-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:ir-4-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:ir-4-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ir-4-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ir-4-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ir-4-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ir-4-7" + }, + { + "rel": "part-of", + "href": "#IRO-02" + } + ] + }, + { + "id": "IRO-02.3", + "title": "Dynamic Reconfiguration", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to dynamically reconfigure system components as part of the incident response capability." + }, + { + "name": "assessment-objective", + "id": "IRO-02.3_IRO-02.3_A01", + "prose": "types of dynamic reconfiguration for system components are defined." + }, + { + "name": "assessment-objective", + "id": "IRO-02.3_IRO-02.3_A02", + "prose": "system components that require dynamic reconfiguration are defined." + }, + { + "name": "assessment-objective", + "id": "IRO-02.3_IRO-02.3_A03", + "prose": "types of dynamic reconfiguration for system components are included as part of the incident response capability." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:respond" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ir-4-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ir-04-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ir-04-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:ir-04-02" + }, + { + "rel": "part-of", + "href": "#IRO-02" + } + ] + }, + { + "id": "IRO-02.4", + "title": "Incident Classification & Prioritization", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IRO-02.4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management", + "value": "3.5.4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to identify classes of incidents and actions to take to ensure the continuation of organizational missions and business functions." + }, + { + "name": "assessment-objective", + "id": "IRO-02.4_IRO-02.4_A01", + "prose": "classes of incidents requiring an organization-defined action to be taken are defined." + }, + { + "name": "assessment-objective", + "id": "IRO-02.4_IRO-02.4_A02", + "prose": "classes of incidents are identified." + }, + { + "name": "assessment-objective", + "id": "IRO-02.4_IRO-02.4_A03", + "prose": "actions to be taken in response to organization-defined classes of incidents are defined." + }, + { + "name": "assessment-objective", + "id": "IRO-02.4_IRO-02.4_A04", + "prose": "actions are taken in response to those incidents to ensure the continuation of organizational mission and business functions." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:respond" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss03.01" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-6.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ir-4-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ir-04-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ir-04-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ir-04-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:ir-04-03" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:de.ae" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:de.ae-02" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:de.ae-04" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:de.ae-06" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:de.ae-08" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:rs.ma-03" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:rs.an-08" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.10" + }, + { + "rel": "part-of", + "href": "#IRO-02" + } + ] + }, + { + "id": "IRO-02.5", + "title": "Correlation with External Organizations", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IRO-02.5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to coordinate with approved third-parties to achieve a cross-organization perspective on incident awareness and more effective incident responses." + }, + { + "name": "assessment-objective", + "id": "IRO-02.5_IRO-02.5_A01", + "prose": "external organizations with whom organizational incident information is to be coordinated and shared are defined." + }, + { + "name": "assessment-objective", + "id": "IRO-02.5_IRO-02.5_A02", + "prose": "incident information to be correlated and shared with organization-defined external organizations are defined." + }, + { + "name": "assessment-objective", + "id": "IRO-02.5_IRO-02.5_A03", + "prose": "there is coordination with external organizations to correlate and share incident information to achieve a cross-organization perspective on incident awareness and more effective incident responses." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:respond" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ir-4-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ir-04-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ir-04-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ir-1-1" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-08" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:de.ae-03" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:rs.ma-01" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:rs.co" + }, + { + "rel": "part-of", + "href": "#IRO-02" + } + ] + }, + { + "id": "IRO-02.6", + "title": "Automatic Disabling of Technology Assets, Applications and/or Services (TAAS)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to automatically disable Technology Assets, Applications and/or Services (TAAS), upon detection of a possible incident that meets organizational criteria, which allows for forensic analysis to be performed." + }, + { + "name": "assessment-objective", + "id": "IRO-02.6_IRO-02.6_A01", + "prose": "a configurable capability is implemented to automatically disable the system if security violations are detected." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:respond" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:iam-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ir-04-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ir-04-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ir-04-05" + }, + { + "rel": "part-of", + "href": "#IRO-02" + } + ] + }, + { + "id": "IRO-03", + "title": "Indicators of Compromise (IOC)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IRO-03" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to define specific Indicators of Compromise (IOC) to identify the signs of potential cybersecurity events." + }, + { + "name": "assessment-objective", + "id": "IRO-03_IRO-03_A01", + "prose": "anomalous or suspicious behavior is defined." + }, + { + "name": "assessment-objective", + "id": "IRO-03_IRO-03_A02", + "prose": "environments or resources which may contain or may be related to anomalous or suspected adversarial behavior are defined." + }, + { + "name": "assessment-objective", + "id": "IRO-03_IRO-03_A03", + "prose": "anomalous or suspected adversarial behavior in or related to organization-defined environments or resources are analyzed." + }, + { + "name": "assessment-objective", + "id": "IRO-03_IRO-03_A04", + "prose": "organizational systems and system components are monitored on an ongoing basis for anomalous or suspicious behavior." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:respond" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss02.01" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:log-14" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:iam-09" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:mon-02" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:mon-09" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:mon-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.14.7" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:de.cm" + } + ] + }, + { + "id": "IRO-04", + "title": "Incident Response Plan (IRP)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IRO-04" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management", + "value": "3.5.3.7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to maintain and make available a current and viable Incident Response Plan (IRP) to all stakeholders." + }, + { + "name": "assessment-objective", + "id": "IRO-04_IRO-04_A01", + "prose": "personnel or roles that review and approve the incident response plan is/are identified." + }, + { + "name": "assessment-objective", + "id": "IRO-04_IRO-04_A02", + "prose": "entities, personnel or roles with designated responsibility for incident response are defined." + }, + { + "name": "assessment-objective", + "id": "IRO-04_IRO-04_A03", + "prose": "an incident response plan is developed that provides the organization with a roadmap for implementing its incident response capability." + }, + { + "name": "assessment-objective", + "id": "IRO-04_IRO-04_A04", + "prose": "an incident response plan is developed that describes the structure and organization of the incident response capability." + }, + { + "name": "assessment-objective", + "id": "IRO-04_IRO-04_A05", + "prose": "an incident response plan is developed that provides a high-level approach for how the incident response capability fits into the overall organization." + }, + { + "name": "assessment-objective", + "id": "IRO-04_IRO-04_A06", + "prose": "an incident response plan is developed that meets the unique requirements of the organization with regard to mission, size, structure and functions." + }, + { + "name": "assessment-objective", + "id": "IRO-04_IRO-04_A07", + "prose": "an incident response plan is developed that defines reportable incidents." + }, + { + "name": "assessment-objective", + "id": "IRO-04_IRO-04_A08", + "prose": "an incident response plan is developed that provides metrics for measuring the incident response capability within the organization." + }, + { + "name": "assessment-objective", + "id": "IRO-04_IRO-04_A09", + "prose": "an incident response plan is developed that defines the resources and management support needed to effectively maintain and mature an incident response capability." + }, + { + "name": "assessment-objective", + "id": "IRO-04_IRO-04_A10", + "prose": "an incident response plan is developed that addresses the sharing of incident information." + }, + { + "name": "assessment-objective", + "id": "IRO-04_IRO-04_A11", + "prose": "an incident response plan is developed that is reviewed and approved by personnel or roles frequency." + }, + { + "name": "assessment-objective", + "id": "IRO-04_IRO-04_A12", + "prose": "an incident response plan is developed that designates responsibilities to organizational entities, personnel, or roles." + }, + { + "name": "assessment-objective", + "id": "IRO-04_IRO-04_A13", + "prose": "copies of the incident response plan are distributed to designated incident response personnel (identified by name or by role)." + }, + { + "name": "assessment-objective", + "id": "IRO-04_IRO-04_A14", + "prose": "incident response personnel (identified by name and/or by role) to whom copies of the incident response plan are to be distributed is/are defined." + }, + { + "name": "assessment-objective", + "id": "IRO-04_IRO-04_A15", + "prose": "organizational elements to which copies of the incident response plan are to be distributed are defined." + }, + { + "name": "assessment-objective", + "id": "IRO-04_IRO-04_A16", + "prose": "incident response personnel (identified by name and/or by role) to whom changes to the incident response plan is/are communicated are defined." + }, + { + "name": "assessment-objective", + "id": "IRO-04_IRO-04_A17", + "prose": "organizational elements to which changes to the incident response plan are communicated are defined." + }, + { + "name": "assessment-objective", + "id": "IRO-04_IRO-04_A18", + "prose": "copies of the incident response plan are distributed to organizational elements." + }, + { + "name": "assessment-objective", + "id": "IRO-04_IRO-04_A19", + "prose": "the frequency at which to review and approve the incident response plan is defined." + }, + { + "name": "assessment-objective", + "id": "IRO-04_IRO-04_A20", + "prose": "the incident response plan is updated to address system and organizational changes or problems encountered during plan implementation, execution or testing." + }, + { + "name": "assessment-objective", + "id": "IRO-04_IRO-04_A21", + "prose": "incident response plan changes are communicated to incident response personnel." + }, + { + "name": "assessment-objective", + "id": "IRO-04_IRO-04_A22", + "prose": "incident response plan changes are communicated to organizational elements." + }, + { + "name": "assessment-objective", + "id": "IRO-04_IRO-04_A23", + "prose": "the incident response plan is protected from unauthorized disclosure." + }, + { + "name": "assessment-objective", + "id": "IRO-04_IRO-04_A24", + "prose": "the incident response plan is protected from unauthorized modification." + }, + { + "name": "assessment-objective", + "id": "IRO-04_IRO-04_A25", + "prose": "the time period to report suspected incidents to the organizational incident response capability is defined." + }, + { + "name": "assessment-objective", + "id": "IRO-04_IRO-04_A26", + "prose": "authorities to whom incident information is to be reported are defined." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:respond" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_17.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_17.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_17.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_17.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_17.9" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_17.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_17.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_17.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_17.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_17.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_17.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_17.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_17.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_17.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_17.9" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss02.01" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:sef-03" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:sef-07" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:iam-09" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:imt-01" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-13-02" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.24" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.26" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_16.1.5" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.24" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.26" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-6.2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:manage-4.0" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-6.2-003" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mg-2.3-001" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mg-4.2-002" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:pr.po-p7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ir-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ir-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ir-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ir-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ir-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ir-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ir-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ir-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ir-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:ir-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:ir-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ir-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ir-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:nfo-ir-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.06.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.06.05.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.06.05.a.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.06.05.a.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.06.05.a.03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.06.05.a.04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.06.05.a.05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.06.05.a.06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.06.05.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.06.02.odp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.06.02.odp-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.06.05.a.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.06.05.a.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.06.05.a.03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.06.05.a.04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.06.05.a.05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.06.05.a.06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.06.05.b-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.06.05.b-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.06.05.d" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.im-04" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:de.ae-06" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:rs" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:rs.ma" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:rs.ma-01" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:rs.ma-02" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:rs.ma-04" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:rs.mi" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.10" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.10.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.10.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.10.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_12.10.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_12.10.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_12.10.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_12.10.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_12.10.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_12.10.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.10.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.10.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.10.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.10.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.10.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.10.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-p2pe:_12.10.1" + } + ] + }, + { + "id": "IRO-04.1", + "title": "Data Breach", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to address data breaches, or other incidents involving the unauthorized disclosure of sensitive or regulated data, according to applicable laws, regulations and contractual obligations." + }, + { + "name": "assessment-objective", + "id": "IRO-04.1_IRO-04.1_A01", + "prose": "the incident response plan for breaches involving Personal Data (PD) includes a process to determine if notice to individuals or other organizations, including oversight organizations, is needed." + }, + { + "name": "assessment-objective", + "id": "IRO-04.1_IRO-04.1_A02", + "prose": "the incident response plan for breaches involving Personal Data (PD) includes an assessment process to determine the extent of the harm, embarrassment, inconvenience or unfairness to affected individuals and any mechanisms to mitigate such harms." + }, + { + "name": "assessment-objective", + "id": "IRO-04.1_IRO-04.1_A03", + "prose": "the incident response plan for breaches involving Personal Data (PD) includes the identification of applicable privacy requirements." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:respond" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:sef-08" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:gvn-06" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.25" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.25" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:cm.aw-p7" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:cm.aw-p8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:se-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ir-08-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ir-08-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ir-08-01" + }, + { + "rel": "part-of", + "href": "#IRO-04" + } + ] + }, + { + "id": "IRO-04.2", + "title": "IRP Update", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IRO-04.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to regularly review and modify incident response practices to incorporate lessons learned, business process changes and industry developments, as necessary." + }, + { + "name": "assessment-objective", + "id": "IRO-04.2_IRO-04.2_A01", + "prose": "an official to manage the incident response policy / procedures is defined." + }, + { + "name": "assessment-objective", + "id": "IRO-04.2_IRO-04.2_A02", + "prose": "the frequency at which the current incident response policy / procedures is reviewed / updated is defined." + }, + { + "name": "assessment-objective", + "id": "IRO-04.2_IRO-04.2_A03", + "prose": "events that would require the current incident response policy / procedures to be reviewed / updated are defined." + }, + { + "name": "assessment-objective", + "id": "IRO-04.2_IRO-04.2_A04", + "prose": "the current incident response policy / procedures are reviewed / updated organization-defined frequency." + }, + { + "name": "assessment-objective", + "id": "IRO-04.2_IRO-04.2_A05", + "prose": "the current incident response policy / procedures are reviewed / updated following organization-defined events." + }, + { + "name": "assessment-objective", + "id": "IRO-04.2_IRO-04.2_A06", + "prose": "the incident response plan is updated to address system and organizational changes or problems encountered during plan implementation, execution, or testing." + }, + { + "name": "assessment-objective", + "id": "IRO-04.2_IRO-04.2_A07", + "prose": "personnel or roles to whom the incident response policy / procedures is to be disseminated are defined." + }, + { + "name": "assessment-objective", + "id": "IRO-04.2_IRO-04.2_A08", + "prose": "an incident response policy is developed and documented." + }, + { + "name": "assessment-objective", + "id": "IRO-04.2_IRO-04.2_A09", + "prose": "the incident response policy is disseminated to organization-defined personnel or roles." + }, + { + "name": "assessment-objective", + "id": "IRO-04.2_IRO-04.2_A10", + "prose": "incident response procedures to facilitate the implementation of the incident response policy and associated incident response controls are developed and documented." + }, + { + "name": "assessment-objective", + "id": "IRO-04.2_IRO-04.2_A11", + "prose": "the incident response procedures are disseminated to organization-defined personnel or roles." + }, + { + "name": "assessment-objective", + "id": "IRO-04.2_IRO-04.2_A12", + "prose": "the organization's incident response policy addresses purpose." + }, + { + "name": "assessment-objective", + "id": "IRO-04.2_IRO-04.2_A13", + "prose": "the organization's incident response policy addresses scope." + }, + { + "name": "assessment-objective", + "id": "IRO-04.2_IRO-04.2_A14", + "prose": "the organization's incident response policy addresses roles." + }, + { + "name": "assessment-objective", + "id": "IRO-04.2_IRO-04.2_A15", + "prose": "the organization's incident response policy addresses responsibilities." + }, + { + "name": "assessment-objective", + "id": "IRO-04.2_IRO-04.2_A16", + "prose": "the organization's incident response policy addresses management commitment." + }, + { + "name": "assessment-objective", + "id": "IRO-04.2_IRO-04.2_A17", + "prose": "the organization's incident response policy addresses coordination among organizational entities." + }, + { + "name": "assessment-objective", + "id": "IRO-04.2_IRO-04.2_A18", + "prose": "the organization's incident response policy addresses compliance." + }, + { + "name": "assessment-objective", + "id": "IRO-04.2_IRO-04.2_A19", + "prose": "the organization's incident response policy is consistent with applicable laws, Executive Orders, directives, regulations, policies, standards, and guidelines." + }, + { + "name": "assessment-objective", + "id": "IRO-04.2_IRO-04.2_A20", + "prose": "the organization-defined official is designated to manage the development, documentation, and dissemination of the incident response policy and procedures." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:respond" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss03.04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ir-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ir-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ir-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ir-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ir-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ir-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ir-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ir-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ir-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:ir-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:ir-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:ir-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ir-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ir-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:nfo-ir-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.06.04.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.06.05.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.06.05.c" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.im-04" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.10.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.10.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.10.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.10.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.10.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.10.6" + }, + { + "rel": "part-of", + "href": "#IRO-04" + } + ] + }, + { + "id": "IRO-04.3", + "title": "Continuous Incident Response Improvements", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IRO-04.3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to use qualitative and quantitative data from incident response testing to: \r\n(1) Determine the effectiveness of incident response processes;\r\n(2) Continuously improve incident response processes; and\r\n(3) Provide incident response measures and metrics that are accurate, consistent and in a reproducible format." + }, + { + "name": "assessment-objective", + "id": "IRO-04.3_IRO-04.3_A01", + "prose": "qualitative / quantitative data from testing are used to determine the effectiveness of incident response processes." + }, + { + "name": "assessment-objective", + "id": "IRO-04.3_IRO-04.3_A02", + "prose": "qualitative / quantitative data from testing are used to continuously improve incident response processes." + }, + { + "name": "assessment-objective", + "id": "IRO-04.3_IRO-04.3_A03", + "prose": "qualitative / quantitative data from testing are used to provide incident response measures and metrics that are accurate." + }, + { + "name": "assessment-objective", + "id": "IRO-04.3_IRO-04.3_A04", + "prose": "qualitative / quantitative data from testing are used to provide incident response measures and metrics that are consistent." + }, + { + "name": "assessment-objective", + "id": "IRO-04.3_IRO-04.3_A05", + "prose": "qualitative / quantitative data from testing are used to provide incident response measures and metrics in a reproducible format." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss03.04" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss03.05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ir-03-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ir-03-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.06.04.b" + }, + { + "rel": "part-of", + "href": "#IRO-04" + } + ] + }, + { + "id": "IRO-05", + "title": "Incident Response Training", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IRO-05" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to train personnel in their incident response roles and responsibilities." + }, + { + "name": "assessment-objective", + "id": "IRO-05_IRO-05_A01", + "prose": "incident response training for system users consistent with assigned roles and responsibilities is provided within an organization-defined time period of assuming an incident response role or responsibility or acquiring system access." + }, + { + "name": "assessment-objective", + "id": "IRO-05_IRO-05_A02", + "prose": "events that initiate a review of the incident response training content are defined." + }, + { + "name": "assessment-objective", + "id": "IRO-05_IRO-05_A03", + "prose": "incident response training content is updated per an organization-defined frequency." + }, + { + "name": "assessment-objective", + "id": "IRO-05_IRO-05_A04", + "prose": "incident response training content is reviewed / updated following organization-defined events." + }, + { + "name": "assessment-objective", + "id": "IRO-05_IRO-05_A05", + "prose": "the time period within which incident response training is to be provided to system users is defined." + }, + { + "name": "assessment-objective", + "id": "IRO-05_IRO-05_A06", + "prose": "the frequency at which to provide incident response training to users after initial training is defined." + }, + { + "name": "assessment-objective", + "id": "IRO-05_IRO-05_A07", + "prose": "the frequency at which to review and update incident response training content is defined." + }, + { + "name": "assessment-objective", + "id": "IRO-05_IRO-05_A08", + "prose": "incident response training is provided to system users consistent with assigned roles and responsibilities when required by system changes." + }, + { + "name": "assessment-objective", + "id": "IRO-05_IRO-05_A09", + "prose": "incident response training is provided to system users consistent with assigned roles and responsibilities upon role assignment and per an organization-defined frequency thereafter." + }, + { + "name": "assessment-objective", + "id": "IRO-05_IRO-05_A10", + "prose": "incident response training content is reviewed per an organization-defined frequency." + }, + { + "name": "assessment-objective", + "id": "IRO-05_IRO-05_A11", + "prose": "incident response training content is reviewed / updated following events." + }, + { + "name": "assessment-objective", + "id": "IRO-05_IRO-05_A12", + "prose": "incident response training on how to identify and respond to a breach is provided." + }, + { + "name": "assessment-objective", + "id": "IRO-05_IRO-05_A13", + "prose": "incident response training on the organization's process for reporting a breach is provided." + }, + { + "name": "assessment-objective", + "id": "IRO-05_IRO-05_A14", + "prose": "incident response training for system users consistent with assigned roles and responsibilities is provided within of assuming an incident response role or responsibility or acquiring system access." + }, + { + "name": "assessment-objective", + "id": "IRO-05_IRO-05_A15", + "prose": "incident response training content is reviewed ." + }, + { + "name": "assessment-objective", + "id": "IRO-05_IRO-05_A16", + "prose": "incident response training content is updated ." + }, + { + "name": "assessment-objective", + "id": "IRO-05_IRO-05_A17", + "prose": "incident response training content is reviewed following ." + }, + { + "name": "assessment-objective", + "id": "IRO-05_IRO-05_A18", + "prose": "incident response training content is updated following ." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:respond" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.29" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.29" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ir-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ir-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ir-02-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ir-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ir-02-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ir-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ir-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ir-02-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ir-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ir-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ir-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ir-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:ir-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:ir-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ir-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ir-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.6.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.06.04.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.06.04.a.03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.06.04.odp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.06.04.odp-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.06.04.odp-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.06.04.odp-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.06.04.a.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.06.04.b-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.06.04.b-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.06.04.b-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.06.04.b-04" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.10.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.10.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.10.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.10.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.10.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.10.4.1" + } + ] + }, + { + "id": "IRO-05.1", + "title": "Simulated Incidents", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IRO-05.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to incorporate simulated events into incident response training to facilitate effective response by personnel in crisis situations." + }, + { + "name": "assessment-objective", + "id": "IRO-05.1_IRO-05.1_A01", + "prose": "simulated events are incorporated into incident response training to facilitate the required response by personnel in crisis situations." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:respond" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ir-2-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ir-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:ir-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ir-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ir-02-01" + }, + { + "rel": "part-of", + "href": "#IRO-05" + } + ] + }, + { + "id": "IRO-05.2", + "title": "Automated Incident Response Training Environments", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to provide a more thorough and realistic incident response training environment." + }, + { + "name": "assessment-objective", + "id": "IRO-05.2_IRO-05.2_A01", + "prose": "automated mechanisms used in an incident response training environment are defined." + }, + { + "name": "assessment-objective", + "id": "IRO-05.2_IRO-05.2_A02", + "prose": "an incident response training environment is provided using automated mechanisms." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:respond" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ir-2-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ir-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:ir-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ir-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ir-02-02" + }, + { + "rel": "part-of", + "href": "#IRO-05" + } + ] + }, + { + "id": "IRO-06", + "title": "Incident Response Testing", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IRO-06" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to formally test incident response capabilities through realistic exercises to determine the operational effectiveness of those capabilities." + }, + { + "name": "assessment-objective", + "id": "IRO-06_IRO-06_A01", + "prose": "the frequency at which to test the effectiveness of the incident response capability for the system is defined." + }, + { + "name": "assessment-objective", + "id": "IRO-06_IRO-06_A02", + "prose": "tests used to test the effectiveness of the incident response capability for the system are defined." + }, + { + "name": "assessment-objective", + "id": "IRO-06_IRO-06_A03", + "prose": "the incident response capability is tested." + }, + { + "name": "assessment-objective", + "id": "IRO-06_IRO-06_A04", + "prose": "the effectiveness of the incident response capability is tested per an organization-defined frequency." + }, + { + "name": "assessment-objective", + "id": "IRO-06_IRO-06_A05", + "prose": "a frequency at which to test intrusion-monitoring tools and mechanisms is defined." + }, + { + "name": "assessment-objective", + "id": "IRO-06_IRO-06_A06", + "prose": "intrusion-monitoring tools and mechanisms are tested frequently." + }, + { + "name": "assessment-objective", + "id": "IRO-06_IRO-06_A07", + "prose": "the effectiveness of the incident response capability is tested ." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:respond" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_17.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_17.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_17.7" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:sef-04" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.30" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-6.2-003" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:pr.po-p8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ir-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:si-4-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ir-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-04-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ir-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:ir-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ir-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-04-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ir-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ir-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ir-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ir-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ir-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.6.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.06.03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.6.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.06.03.odp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.06.03" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.10.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.10.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.10.2" + } + ] + }, + { + "id": "IRO-06.1", + "title": "Coordination with Related Plans", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IRO-06.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to coordinate incident response testing with organizational elements responsible for related plans." + }, + { + "name": "assessment-objective", + "id": "IRO-06.1_IRO-06.1_A01", + "prose": "incident response testing is coordinated with organizational elements responsible for related plans." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.29" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.29" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ir-3-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ir-03-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:ir-03-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ir-03-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ir-03-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ir-03-02" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:rs.co" + }, + { + "rel": "part-of", + "href": "#IRO-06" + } + ] + }, + { + "id": "IRO-07", + "title": "Integrated Security Incident Response Team (ISIRT)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IRO-07" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to establish an integrated team of cybersecurity, IT and business function representatives that are capable of addressing cybersecurity and data protection incident response operations." + }, + { + "name": "assessment-objective", + "id": "IRO-07_IRO-07_A01", + "prose": "an integrated incident response team is established and maintained." + }, + { + "name": "assessment-objective", + "id": "IRO-07_IRO-07_A02", + "prose": "the time period within which an integrated incident response team can be deployed is defined." + }, + { + "name": "assessment-objective", + "id": "IRO-07_IRO-07_A03", + "prose": "the cyber incident response team can be deployed by the organization within an organization-defined time period." + }, + { + "name": "assessment-objective", + "id": "IRO-07_IRO-07_A04", + "prose": "suspected incidents are reported to the organizational incident response capability within an organization-defined time period." + }, + { + "name": "assessment-objective", + "id": "IRO-07_IRO-07_A05", + "prose": "an incident response support resource that offers advice and assistance to system users on handling and reporting incidents is provided." + }, + { + "name": "assessment-objective", + "id": "IRO-07_IRO-07_A06", + "prose": "a time period for deploying a cyber incident response team is defined." + }, + { + "name": "assessment-objective", + "id": "IRO-07_IRO-07_A07", + "prose": "the cyber incident response team can be deployed by the organization within an organization-defined time period." + }, + { + "name": "assessment-objective", + "id": "IRO-07_IRO-07_A08", + "prose": "the cyber incident response team is maintained." + }, + { + "name": "assessment-objective", + "id": "IRO-07_IRO-07_A09", + "prose": "suspected incidents are reported to the organizational incident response capability within ." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:respond" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_17.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_17.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_17.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_17.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_17.9" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_17.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_17.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_17.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_17.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_17.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_17.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_17.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_17.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_17.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_17.9" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:imt-01" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.25" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.26" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_16.1.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.25" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.26" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ir-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ir-04-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:ir-04-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ir-04-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ir-04-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:ir-04-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ir-4-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ir-4-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.06.02.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.06.02.d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.6.2e" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:de.ae-06" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:rs" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:rs.ma" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:rs.ma-01" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:rs.ma-04" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.10.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_12.10.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_12.10.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.10.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.10.3" + } + ] + }, + { + "id": "IRO-08", + "title": "Chain of Custody & Forensics", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IRO-08" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management", + "value": "3.5.5.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to perform digital forensics and maintain the integrity of the chain of custody, in accordance with applicable laws, regulations and industry-recognized secure practices." + }, + { + "name": "assessment-objective", + "id": "IRO-08_IRO-08_A01", + "prose": "reviewer or releaser credentials are maintained within the established chain of custody for information reviewed or released." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:respond" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:imt-01" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.26" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.28" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_16.1.7" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.26" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.28" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:au-10-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:au-10-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ir-04-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ir-04-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:au-10-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ir-04-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:ir-04-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:au-10-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:au-10-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:au-10-3" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:rs.an" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:rs.an-06" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:rs.an-07" + } + ] + }, + { + "id": "IRO-08.1", + "title": "Licensed Forensic Investigators", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to utilize licensed forensic investigators to perform data analysis for evidentiary purposes that may be used in legal proceedings or to prove wrongdoing." + }, + { + "name": "assessment-objective", + "id": "IRO-08.1_IRO-08.1_A01", + "prose": "requirements for utilizing a licensed forensic investigator to perform data analysis for evidentiary purposes that may be used in legal proceedings or to prove wrongdoing are identified." + }, + { + "name": "assessment-objective", + "id": "IRO-08.1_IRO-08.1_A02", + "prose": "where required, only licensed forensic investigators are to perform data analysis for evidentiary purposes that may be used in legal proceedings or to prove wrongdoing." + }, + { + "name": "overview", + "class": "errata", + "prose": "- new control (SCF)" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#IRO-08" + } + ] + }, + { + "id": "IRO-09", + "title": "Situational Awareness For Incidents", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IRO-09" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management", + "value": "3.5.5.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to document, monitor and report the status of cybersecurity and data protection incidents to internal stakeholders all the way through the resolution of the incident." + }, + { + "name": "assessment-objective", + "id": "IRO-09_IRO-09_A01", + "prose": "suspected incidents are reported to the organizational incident response capability within an organization-defined time period." + }, + { + "name": "assessment-objective", + "id": "IRO-09_IRO-09_A02", + "prose": "system security incidents are tracked / reported to internal stakeholders." + }, + { + "name": "assessment-objective", + "id": "IRO-09_IRO-09_A03", + "prose": "system security incidents are documented." + }, + { + "name": "assessment-objective", + "id": "IRO-09_IRO-09_A04", + "prose": "system security incidents are tracked." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_17.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_17.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_17.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_17.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_17.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_17.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_17.6" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss02.02" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss02.05" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss02.07" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.25" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.25" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ir-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ir-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ir-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ir-05" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.308-a-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ir-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ir-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ir-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ir-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:ir-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ir-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:ir-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ir-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ir-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.06.02.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.06.02.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.06.02.a-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.06.02.a-02" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:de.ae-06" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:rs" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:rs.an-06" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:rs.co" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:rc.rp-06" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:a3.3.1" + } + ] + }, + { + "id": "IRO-09.1", + "title": "Automated Tracking, Data Collection & Analysis", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to assist in the tracking, collection and analysis of information from actual and potential cybersecurity and data protection incidents." + }, + { + "name": "assessment-objective", + "id": "IRO-09.1_IRO-09.1_A01", + "prose": "automated mechanisms used to track incidents are defined." + }, + { + "name": "assessment-objective", + "id": "IRO-09.1_IRO-09.1_A02", + "prose": "automated mechanisms used to collect incident information are defined." + }, + { + "name": "assessment-objective", + "id": "IRO-09.1_IRO-09.1_A03", + "prose": "automated mechanisms used to analyze incident information are defined." + }, + { + "name": "assessment-objective", + "id": "IRO-09.1_IRO-09.1_A04", + "prose": "incidents are tracked using automated mechanisms." + }, + { + "name": "assessment-objective", + "id": "IRO-09.1_IRO-09.1_A05", + "prose": "incident information is collected using automated mechanisms." + }, + { + "name": "assessment-objective", + "id": "IRO-09.1_IRO-09.1_A06", + "prose": "incident information is analyzed using automated mechanisms." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ir-5-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ir-05-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:ir-05-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ir-05-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ir-05-01" + }, + { + "rel": "part-of", + "href": "#IRO-09" + } + ] + }, + { + "id": "IRO-09.2", + "title": "Recurring Incident Analysis", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to periodically review incident response activities for the existence of recurring incidents." + }, + { + "name": "assessment-objective", + "id": "IRO-09.2_IRO-09.2_A01", + "prose": "incident response activities are periodically reviewed for the existence of recurring incidents." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "part-of", + "href": "#IRO-09" + } + ] + }, + { + "id": "IRO-09.3", + "title": "Incident Tracking Repository", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to maintain a repository of cybersecurity events and incidents that documents:\r\n(1) Details of the incident (e.g., category, severity, affected parties, etc.);\r\n(2) Remediation actions taken through incident closure; and\r\n(3) A summary from the Root Cause Analysis (RCA), if applicable." + }, + { + "name": "assessment-objective", + "id": "IRO-09.3_IRO-09.3_A01", + "prose": "a repository to document cybersecurity events and incidents is defined." + }, + { + "name": "assessment-objective", + "id": "IRO-09.3_IRO-09.3_A02", + "prose": "details of the incident (e.g., category, severity, affected parties, etc.) are documented in the repository." + }, + { + "name": "assessment-objective", + "id": "IRO-09.3_IRO-09.3_A03", + "prose": "remediation actions taken through incident closure are documented in the repository." + }, + { + "name": "assessment-objective", + "id": "IRO-09.3_IRO-09.3_A04", + "prose": "a summary from the Root Cause Analysis (RCA) are documented in the repository, if applicable." + }, + { + "name": "overview", + "class": "errata", + "prose": "- new control (C2M2)" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "part-of", + "href": "#IRO-09" + } + ] + }, + { + "id": "IRO-09.4", + "title": "Incident Pattern Analysis", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to analyze historical incidents in aggregate to identify:\r\n(1) Patterns;\r\n(2) Trends; and \r\n(3) Other common root causes in order to address the vulnerability and risk." + }, + { + "name": "assessment-objective", + "id": "IRO-09.4_IRO-09.4_A01", + "prose": "a method to analyze historical incidents in aggregate is defined." + }, + { + "name": "assessment-objective", + "id": "IRO-09.4_IRO-09.4_A02", + "prose": "historical incidents are analyzed in aggregate to identify patterns." + }, + { + "name": "assessment-objective", + "id": "IRO-09.4_IRO-09.4_A03", + "prose": "historical incidents are analyzed in aggregate to identify trends." + }, + { + "name": "assessment-objective", + "id": "IRO-09.4_IRO-09.4_A04", + "prose": "historical incidents are analyzed in aggregate to identify other common root causes in order to address the vulnerability and risk." + }, + { + "name": "overview", + "class": "errata", + "prose": "- new control (C2M2)" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "part-of", + "href": "#IRO-09" + } + ] + }, + { + "id": "IRO-10", + "title": "Incident Stakeholder Reporting", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IRO-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management", + "value": "3.5.5.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to timely-report incidents to applicable:\r\n(1) Internal stakeholders; \r\n(2) Affected clients & third-parties; and\r\n(3) Regulatory authorities." + }, + { + "name": "assessment-objective", + "id": "IRO-10_IRO-10_A01", + "prose": "the time period to report suspected incidents to the organizational incident response capability is defined." + }, + { + "name": "assessment-objective", + "id": "IRO-10_IRO-10_A02", + "prose": "authorities to whom incident information is to be reported are defined." + }, + { + "name": "assessment-objective", + "id": "IRO-10_IRO-10_A03", + "prose": "personnel are required to report suspected incidents to the organizational incident response capability within an organization-defined time period." + }, + { + "name": "assessment-objective", + "id": "IRO-10_IRO-10_A04", + "prose": "incident information is reported to organization-defined authorities." + }, + { + "name": "assessment-objective", + "id": "IRO-10_IRO-10_A05", + "prose": "suspected incidents are reported to the organizational incident response capability within an organization-defined time period." + }, + { + "name": "assessment-objective", + "id": "IRO-10_IRO-10_A06", + "prose": "an incident response support resource that offers advice and assistance to system users on handling and reporting incidents is provided." + }, + { + "name": "assessment-objective", + "id": "IRO-10_IRO-10_A07", + "prose": "suspected incidents are reported to the organizational incident response capability within ." + }, + { + "name": "assessment-objective", + "id": "IRO-10_IRO-10_A08", + "prose": "incident information is reported to ." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:respond" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_17.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_17.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_17.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_17.2" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:edm05.02" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_15" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:sef-08" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_6.8" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_16.1.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_6.8" + }, + { + "rel": "mapped-to", + "href": "#iso-29100-2024:_6.1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.8.3" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.8.4" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:manage-4.3" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mg-4.3-001" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:cm.aw-p7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ir-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ir-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ir-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ir-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ir-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ir-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ir-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ir-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ir-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.06.02.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.06.02.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.06.02.odp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.06.02.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.06.02.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.06.02.d" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:de.ae-06" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:rs" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:rs.ma-01" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:rs.co" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:rs.co-02" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:rs.co-03" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.1.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.10.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:a1.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_12.10.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_12.1.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_12.10.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_12.10.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_12.10.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_12.10.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_12.10.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.1.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.10.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.1.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.10.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:a1.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-p2pe:_12.10.1" + } + ] + }, + { + "id": "IRO-10.1", + "title": "Automated Reporting", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to assist in the reporting of cybersecurity and data protection incidents." + }, + { + "name": "assessment-objective", + "id": "IRO-10.1_IRO-10.1_A01", + "prose": "automated mechanisms used for reporting incidents are defined." + }, + { + "name": "assessment-objective", + "id": "IRO-10.1_IRO-10.1_A02", + "prose": "incidents are reported using automated mechanisms." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ir-6-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ir-06-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:ir-06-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ir-06-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ir-06-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ir-06-01" + }, + { + "rel": "part-of", + "href": "#IRO-10" + } + ] + }, + { + "id": "IRO-10.2", + "title": "Cyber Incident Reporting for Sensitive / Regulated Data", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IRO-10.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management", + "value": "3.5.5.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to report sensitive/regulated data incidents in a timely manner." + }, + { + "name": "assessment-objective", + "id": "IRO-10.2_IRO-10.2_A01", + "prose": "sensitive / regulated data incidents are reported in a timely manner." + }, + { + "name": "assessment-objective", + "id": "IRO-10.2_IRO-10.2_A02", + "prose": "authorities to whom incident information is to be reported are defined." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_17.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_17.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_17.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_17.2" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:sef-09" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mg-4.3-003" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:cm.aw-p7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.06.02.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.06.02.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.06.02.odp-02" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:rs.co" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:rs.co-02" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:rs.co-03" + }, + { + "rel": "part-of", + "href": "#IRO-10" + } + ] + }, + { + "id": "IRO-10.3", + "title": "Vulnerabilities Related To Incidents", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to report system vulnerabilities associated with reported cybersecurity and data protection incidents to organization-defined personnel or roles." + }, + { + "name": "assessment-objective", + "id": "IRO-10.3_IRO-10.3_A01", + "prose": "personnel or roles to whom system vulnerabilities associated with reported incidents are reported to is/are defined." + }, + { + "name": "assessment-objective", + "id": "IRO-10.3_IRO-10.3_A02", + "prose": "system vulnerabilities associated with reported incidents are reported to personnel or roles." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:respond" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_17.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_17.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_17.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_17.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.8" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ir-6-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ir-06-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ir-06-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ir-06-02" + }, + { + "rel": "part-of", + "href": "#IRO-10" + } + ] + }, + { + "id": "IRO-10.4", + "title": "Supply Chain Coordination", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IRO-10.4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to provide cybersecurity and data protection incident information to the provider of the Technology Assets, Applications and/or Services (TAAS) and other organizations involved in the supply chain for TAAS related to the incident." + }, + { + "name": "assessment-objective", + "id": "IRO-10.4_IRO-10.4_A01", + "prose": "incident handling activities involving supply chain events are coordinated with other organizations involved in the supply chain." + }, + { + "name": "assessment-objective", + "id": "IRO-10.4_IRO-10.4_A02", + "prose": "incident information is provided to the provider of the product or service and other organizations involved in the supply chain or supply chain governance for systems or system components related to the incident." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:respond" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_17.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_17.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_17.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_17.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.20" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ir-6-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ir-04-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ir-06-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ir-04-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:ir-06-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ir-04-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ir-06-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ir-06-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ir-06-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:ir-04-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ir-1-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ir-4-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ir-6-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:ir-4-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:ir-6-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ir-4-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ir-6-3" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:rs.co" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:rs.co-02" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:rs.co-03" + }, + { + "rel": "part-of", + "href": "#IRO-10" + } + ] + }, + { + "id": "IRO-10.5", + "title": "Serious Incident Reporting", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to report any serious incident involving the organization's Technology Assets, Applications, Services and/or Data (TAASD) to relevant authorities in the locality where the incident occurred, in accordance with mandatory reporting:\r\n(1) Requirements; and\r\n(2) Timelines." + }, + { + "name": "assessment-objective", + "id": "IRO-10.5_IRO-10.5_A01", + "prose": "serious incident involving the organization's systems, applications and/or services are reported to relevant authorities in the locality where the incident occurred, in accordance with legal requirements." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "part-of", + "href": "#IRO-10" + } + ] + }, + { + "id": "IRO-11", + "title": "Incident Reporting Assistance", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IRO-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to provide incident response advice and assistance to users of Technology Assets, Applications and/or Services (TAAS) for the handling and reporting of actual and potential cybersecurity and data protection incidents." + }, + { + "name": "assessment-objective", + "id": "IRO-11_IRO-11_A01", + "prose": "an incident response support resource that offers advice and assistance to system users on handling and reporting incidents is provided." + }, + { + "name": "assessment-objective", + "id": "IRO-11_IRO-11_A02", + "prose": "the incident response support resource offers advice and assistance to users of the system for the response and reporting of incidents." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:respond" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ir-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ir-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ir-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ir-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ir-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ir-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ir-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ir-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ir-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.06.02.d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.06.02.d" + } + ] + }, + { + "id": "IRO-11.1", + "title": "Automation Support of Availability of Information / Support", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to increase the availability of incident response-related information and support." + }, + { + "name": "assessment-objective", + "id": "IRO-11.1_IRO-11.1_A01", + "prose": "automated mechanisms used to increase the availability of incident response information and support are defined." + }, + { + "name": "assessment-objective", + "id": "IRO-11.1_IRO-11.1_A02", + "prose": "the availability of incident response information and support is increased using automated mechanisms." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:respond" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ir-7-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ir-07-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:ir-07-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ir-07-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ir-07-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ir-07-01" + }, + { + "rel": "part-of", + "href": "#IRO-11" + } + ] + }, + { + "id": "IRO-11.2", + "title": "Coordination With External Providers", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to establish a direct, cooperative relationship between the organization's incident response capability and external service providers." + }, + { + "name": "assessment-objective", + "id": "IRO-11.2_IRO-11.2_A01", + "prose": "a direct, cooperative relationship is established between its incident response capability and external providers of the system protection capability." + }, + { + "name": "assessment-objective", + "id": "IRO-11.2_IRO-11.2_A02", + "prose": "organizational incident response team members are identified to the external providers." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:respond" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.29" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.29" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ir-7-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ir-07-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ir-07-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ir-7-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:ir-7-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ir-7-2" + }, + { + "rel": "part-of", + "href": "#IRO-11" + } + ] + }, + { + "id": "IRO-12", + "title": "Sensitive / Regulated Data Spill Response", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IRO-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to respond to sensitive/regulated data spills." + }, + { + "name": "assessment-objective", + "id": "IRO-12_IRO-12_A01", + "prose": "actions to be performed are defined." + }, + { + "name": "assessment-objective", + "id": "IRO-12_IRO-12_A02", + "prose": "the specific information involved in the system contamination is identified in response to information spills." + }, + { + "name": "assessment-objective", + "id": "IRO-12_IRO-12_A03", + "prose": "personnel or roles is/are alerted of the information spill using a method of communication not associated with the spill." + }, + { + "name": "assessment-objective", + "id": "IRO-12_IRO-12_A04", + "prose": "the contaminated system or system component is isolated in response to information spills." + }, + { + "name": "assessment-objective", + "id": "IRO-12_IRO-12_A05", + "prose": "the information is eradicated from the contaminated system or component in response to information spills." + }, + { + "name": "assessment-objective", + "id": "IRO-12_IRO-12_A06", + "prose": "other systems or system components that may have been subsequently contaminated are identified in response to information spills." + }, + { + "name": "assessment-objective", + "id": "IRO-12_IRO-12_A07", + "prose": "actions are performed in response to information spills." + }, + { + "name": "assessment-objective", + "id": "IRO-12_IRO-12_A08", + "prose": "sensitive / regulated data is removed from publicly accessible systems, if discovered." + }, + { + "name": "assessment-objective", + "id": "IRO-12_IRO-12_A09", + "prose": "CUI is removed from publicly accessible systems, if discovered." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:respond" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:pr.ds-p5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ir-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ir-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ir-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ir-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ir-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:ir-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ir-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.06.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.22.b-02" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.10.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:a3.2.5.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.10.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.10.7" + } + ] + }, + { + "id": "IRO-12.1", + "title": "Sensitive / Regulated Data Spill Responsible Personnel", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to formally assign personnel or roles with responsibility for responding to sensitive/regulated data spills." + }, + { + "name": "assessment-objective", + "id": "IRO-12.1_IRO-12.1_A01", + "prose": "personnel or roles assigned the responsibility for responding to information spills is/are defined." + }, + { + "name": "assessment-objective", + "id": "IRO-12.1_IRO-12.1_A02", + "prose": "personnel or roles to be alerted of the information spill using a method of communication not associated with the spill is/are defined." + }, + { + "name": "assessment-objective", + "id": "IRO-12.1_IRO-12.1_A03", + "prose": "personnel or roles is/are assigned the responsibility to respond to information spills." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:respond" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ir-9-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ir-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ir-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ir-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ir-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:ir-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ir-9" + }, + { + "rel": "part-of", + "href": "#IRO-12" + } + ] + }, + { + "id": "IRO-12.2", + "title": "Sensitive / Regulated Data Spill Training", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure incident response training material provides coverage for sensitive/regulated data spillage response." + }, + { + "name": "assessment-objective", + "id": "IRO-12.2_IRO-12.2_A01", + "prose": "the frequency at which to provide information spillage response training is defined." + }, + { + "name": "assessment-objective", + "id": "IRO-12.2_IRO-12.2_A02", + "prose": "information spillage response training is provided frequently." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:respond" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ir-9-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ir-09-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ir-09-02" + }, + { + "rel": "part-of", + "href": "#IRO-12" + } + ] + }, + { + "id": "IRO-12.3", + "title": "Post-Sensitive / Regulated Data Spill Operations", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure that organizational personnel impacted by sensitive/regulated data spills can continue to carry out assigned tasks while contaminated Technology Assets, Applications and/or Services (TAAS) are undergoing corrective actions." + }, + { + "name": "assessment-objective", + "id": "IRO-12.3_IRO-12.3_A01", + "prose": "procedures to be implemented to ensure that organizational personnel impacted by information spills can continue to carry out assigned tasks while contaminated systems undergo corrective actions are defined." + }, + { + "name": "assessment-objective", + "id": "IRO-12.3_IRO-12.3_A02", + "prose": "procedures are implemented to ensure that organizational personnel impacted by information spills can continue to carry out assigned tasks while contaminated systems are undergoing corrective actions." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:respond" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ir-9-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ir-09-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ir-09-03" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.10.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:a3.2.5.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.10.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.10.7" + }, + { + "rel": "part-of", + "href": "#IRO-12" + } + ] + }, + { + "id": "IRO-12.4", + "title": "Sensitive / Regulated Data Exposure to Unauthorized Personnel", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to address security safeguards for personnel exposed to sensitive/regulated data that is not within their assigned access authorizations." + }, + { + "name": "assessment-objective", + "id": "IRO-12.4_IRO-12.4_A01", + "prose": "controls employed for personnel exposed to information not within assigned access authorizations are defined." + }, + { + "name": "assessment-objective", + "id": "IRO-12.4_IRO-12.4_A02", + "prose": "controls are employed for personnel exposed to information not within assigned access authorizations." + }, + { + "name": "assessment-objective", + "id": "IRO-12.4_IRO-12.4_A03", + "prose": "malicious code remaining in the system is analyzed after the incident." + }, + { + "name": "assessment-objective", + "id": "IRO-12.4_IRO-12.4_A04", + "prose": "other residual artifacts remaining in the system (if any) are analyzed after the incident." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:respond" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ir-9-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ir-09-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ir-09-04" + }, + { + "rel": "part-of", + "href": "#IRO-12" + } + ] + }, + { + "id": "IRO-13", + "title": "Root Cause Analysis (RCA) & Lessons Learned", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IRO-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management", + "value": "3.5.6.3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to incorporate lessons learned from analyzing and resolving cybersecurity and data protection incidents to reduce the likelihood or impact of future incidents." + }, + { + "name": "assessment-objective", + "id": "IRO-13_IRO-13_A01", + "prose": "an After Action Reviews (AARs), or a similar process, is conducted following incidents that require escalation to an Integrated Security Incident Response Team (ISIRT), or similar integrated team of cybersecurity, IT and business function representatives, are established to address a cybersecurity and/or data privacy incident response operations." + }, + { + "name": "assessment-objective", + "id": "IRO-13_IRO-13_A02", + "prose": "events that would require the current incident response policy / procedures to be reviewed / updated are defined." + }, + { + "name": "assessment-objective", + "id": "IRO-13_IRO-13_A03", + "prose": "incident response documentation is updated to address necessary changes to enable the timely and effective response to incidents." + }, + { + "name": "assessment-objective", + "id": "IRO-13_IRO-13_A04", + "prose": "events that initiate a review of the incident response training content are defined." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:respond" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_16.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_17.8" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_16.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_17.8" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_16.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_17.8" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss03.03" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.24" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.27" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_16.1.6" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.24" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.26-a" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.27" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mg-4.2-002" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mg-4.3-001" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:gv.mt-p6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ir-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ir-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ir-04-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ir-06-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ir-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ir-04-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ir-06-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ir-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ir-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ir-04-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ir-06-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ir-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ir-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ir-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:ir-04-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ir-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:ir-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:ir-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:ir-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ir-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ir-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:nfo-ir-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.06.04.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.06.04.odp-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:rv.3" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.im-02" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.im-03" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:rs.an-03" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.10.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:a3.3.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.10.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.10.6" + } + ] + }, + { + "id": "IRO-14", + "title": "Regulatory & Law Enforcement Contacts", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IRO-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to maintain incident response contacts with applicable regulatory and law enforcement agencies." + }, + { + "name": "assessment-objective", + "id": "IRO-14_IRO-14_A01", + "prose": "time period for personnel to report suspected incidents to the organizational incident response capability is defined." + }, + { + "name": "assessment-objective", + "id": "IRO-14_IRO-14_A02", + "prose": "authorities to whom incident information is to be reported are defined." + }, + { + "name": "assessment-objective", + "id": "IRO-14_IRO-14_A03", + "prose": "personnel are required to report suspected incidents to the organizational incident response capability within an organization-defined time period." + }, + { + "name": "assessment-objective", + "id": "IRO-14_IRO-14_A04", + "prose": "incident information is reported to authorities." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_15" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:sef-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ir-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ir-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ir-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ir-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ir-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ir-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ir-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ir-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ir-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.06.02.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.06.02.odp-02" + } + ] + }, + { + "id": "IRO-15", + "title": "Detonation Chambers (Sandboxes)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IRO-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to utilize a detonation chamber capability to detect and/or block potentially-malicious files and email attachments." + }, + { + "name": "assessment-objective", + "id": "IRO-15_IRO-15_A01", + "prose": "the system, system component or location where a detonation chamber capability is to be employed is defined." + }, + { + "name": "assessment-objective", + "id": "IRO-15_IRO-15_A02", + "prose": "a detonation chamber capability is employed within the organization-defined system, system component or location." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:respond" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_9.0" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_9.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_9.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_9.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_9.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_9.7" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rc-05-15" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-44" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-44" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-44" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sc-44" + } + ] + }, + { + "id": "IRO-16", + "title": "Public Relations & Reputation Repair", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IRO-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to proactively manage public relations associated with incidents and employ appropriate measures to prevent further reputational damage and develop plans to repair any damage to the organization's reputation." + }, + { + "name": "assessment-objective", + "id": "IRO-16_IRO-16_A01", + "prose": "public relations associated with an incident are managed." + }, + { + "name": "assessment-objective", + "id": "IRO-16_IRO-16_A02", + "prose": "measures are employed to repair the reputation of the organization." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:recover" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:cm.aw-p8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ir-04-15" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ir-04-15" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:rc.co-04" + } + ] + } + ] + }, + { + "id": "information-assurance", + "title": "Information Assurance", + "controls": [ + { + "id": "IAO-01", + "title": "Information Assurance (IA) Operations", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IAO-01" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.33", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.34", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.35", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.36", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.37", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.38", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to facilitate the implementation of security, compliance and resilience assessment and authorization controls." + }, + { + "name": "assessment-objective", + "id": "IAO-01_IAO-01_A01", + "prose": "an Information Assurance (IA) process is implemented for conducting cybersecurity / data privacy testing, training and monitoring activities associated with systems, applications and services." + }, + { + "name": "assessment-objective", + "id": "IAO-01_IAO-01_A02", + "prose": "the Information Assurance (IA) program is organization-wide." + }, + { + "name": "assessment-objective", + "id": "IAO-01_IAO-01_A03", + "prose": "the authorization processes are integrated into an organization-wide Risk Management Program (RMP)." + }, + { + "name": "assessment-objective", + "id": "IAO-01_IAO-01_A04", + "prose": "the cybersecurity / data privacy security state of organizational systems and the environments in which those systems operate are managed through authorization processes." + }, + { + "name": "assessment-objective", + "id": "IAO-01_IAO-01_A05", + "prose": "individuals are designated to fulfill specific roles and responsibilities within the organizational risk management process." + }, + { + "name": "assessment-objective", + "id": "IAO-01_IAO-01_A06", + "prose": "information assurance management operations are conducted according to documented policies, standards, procedures and/or other organizational directives." + }, + { + "name": "assessment-objective", + "id": "IAO-01_IAO-01_A07", + "prose": "adequate resources (e.g., people, processes, technologies, data and/or facilities) are provided to support information assurance management operations." + }, + { + "name": "assessment-objective", + "id": "IAO-01_IAO-01_A08", + "prose": "responsibility and authority for the performance of information assurance management-related activities are assigned to designated personnel." + }, + { + "name": "assessment-objective", + "id": "IAO-01_IAO-01_A09", + "prose": "personnel performing information assurance management-related activities have the skills and knowledge needed to perform their assigned duties." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:mea04.05" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:mea04.06" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_16" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:iot-01" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:set-01" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:org-2.4" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:pm-06-15" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-06-24" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-06-25" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-06-26" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-06-27" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-06-28" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-06-28-a" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-06-28-b" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-06-29" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.21" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.21" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_5.5" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_5.6" + }, + { + "rel": "mapped-to", + "href": "#iso-31010-2009:_4.3.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.6.2.5" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-4.3" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:manage-1.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ca-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:pm-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ca-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pm-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ca-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pm-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ca-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ca-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pm-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ca-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pm-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ca-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pm-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ca-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pm-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ca-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pm-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:ca-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:ca-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:pm-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ca-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:pm-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ca-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:nfo-ca-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.12.01" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.ra-01" + } + ] + }, + { + "id": "IAO-01.1", + "title": "Assessment Boundaries", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IAO-01.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to establish the scope of assessments by defining the assessment boundary, according to people, processes and technology that directly or indirectly impact the confidentiality, integrity, availability and safety of the Technology Assets, Applications, Services and/or Data (TAASD) under review." + }, + { + "name": "assessment-objective", + "id": "IAO-01.1_IAO-01.1_A01", + "prose": "assessments are defined as (1) organization-level, (2) mission/business process-level, or (3) system/application/service-level." + }, + { + "name": "assessment-objective", + "id": "IAO-01.1_IAO-01.1_A02", + "prose": "the scope of assessments is established by defining the assessment boundary, according to people, processes and technology that directly or indirectly impact the confidentiality, integrity, availability and safety of the data and systems under review." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:mea04.04" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:set-01" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-06-30" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-06-30-a" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-06-30-b" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-06-30-c" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-06-30-d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-37-r2:task-p-11" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.308-a-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.12.01" + }, + { + "rel": "part-of", + "href": "#IAO-01" + } + ] + }, + { + "id": "IAO-02", + "title": "Assessments", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IAO-02" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to formally assess the security, compliance and resilience controls in Technology Assets, Applications and/or Services (TAAS) through Information Assurance Program (IAP) activities to determine the extent to which the controls are implemented correctly, operating as intended and producing the desired outcome with respect to meeting expected requirements." + }, + { + "name": "assessment-objective", + "id": "IAO-02_IAO-02_A01", + "prose": "the frequency at which to assess controls in the system and its environment of operation is defined." + }, + { + "name": "assessment-objective", + "id": "IAO-02_IAO-02_A02", + "prose": "individuals or roles to whom control assessment results are to be provided are defined." + }, + { + "name": "assessment-objective", + "id": "IAO-02_IAO-02_A03", + "prose": "an appropriate assessor or assessment team is selected for the type of assessment to be conducted." + }, + { + "name": "assessment-objective", + "id": "IAO-02_IAO-02_A04", + "prose": "a control assessment plan is developed that describes the scope of the assessment, including controls and control enhancements under assessment." + }, + { + "name": "assessment-objective", + "id": "IAO-02_IAO-02_A05", + "prose": "a control assessment plan is developed that describes the scope of the assessment, including assessment procedures to be used to determine control effectiveness." + }, + { + "name": "assessment-objective", + "id": "IAO-02_IAO-02_A06", + "prose": "a control assessment plan is developed that describes the scope of the assessment, including the assessment environment." + }, + { + "name": "assessment-objective", + "id": "IAO-02_IAO-02_A07", + "prose": "a control assessment plan is developed that describes the scope of the assessment, including the assessment team." + }, + { + "name": "assessment-objective", + "id": "IAO-02_IAO-02_A08", + "prose": "a control assessment plan is developed that describes the scope of the assessment, including assessment roles and responsibilities." + }, + { + "name": "assessment-objective", + "id": "IAO-02_IAO-02_A09", + "prose": "the control assessment plan is reviewed and approved by the authorizing official or designated representative prior to conducting the assessment." + }, + { + "name": "assessment-objective", + "id": "IAO-02_IAO-02_A10", + "prose": "security critical or essential software, firmware and hardware components for which to verify correctness are defined." + }, + { + "name": "assessment-objective", + "id": "IAO-02_IAO-02_A11", + "prose": "verification methods or techniques are defined." + }, + { + "name": "assessment-objective", + "id": "IAO-02_IAO-02_A12", + "prose": "the correctness of security critical or essential software, firmware and hardware components is verified using verification methods or techniques." + }, + { + "name": "assessment-objective", + "id": "IAO-02_IAO-02_A13", + "prose": "controls are assessed in the system and its environment of operation per an assessment frequency to determine the extent to which the controls are implemented correctly, operating as intended and producing the desired outcome with respect to meeting established security requirements." + }, + { + "name": "assessment-objective", + "id": "IAO-02_IAO-02_A14", + "prose": "controls are assessed in the system and its environment of operation per an assessment frequency to determine the extent to which the controls are implemented correctly, operating as intended and producing the desired outcome with respect to meeting established privacy requirements." + }, + { + "name": "assessment-objective", + "id": "IAO-02_IAO-02_A15", + "prose": "a control assessment report is produced that documents the results of the assessment." + }, + { + "name": "assessment-objective", + "id": "IAO-02_IAO-02_A16", + "prose": "the results of the control assessment are provided to individuals or roles." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai03.06" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai03.08" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:mea04.06" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:mea04.07" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_16" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:set-01" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:org-2.4-a" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:pm-06-15-a" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:pm-06-15-b" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:pm-06-15-c" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:pm-06-16" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:pm-06-16-a" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:pm-06-16-b" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:pm-06-16-c" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:pm-06-16-d" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:pm-06-17" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:pm-06-17-a" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:pm-06-17-b" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-06-20" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-06-22" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-10-08" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-10-09" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-10-10" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-10-10-a" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-10-10-b" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-10-10-c" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-10-10-d" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-10-11" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-10-12" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-10-13" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-11-01" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-11-01-a" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-11-01-b" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-11-01-c" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-11-01-d" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-11-02" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.21" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.23" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.29" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_14.2.8" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.21" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.23" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.29" + }, + { + "rel": "mapped-to", + "href": "#iso-31010-2009:_5.3.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.6.2.5" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:measure-2.0" + }, + { + "rel": "mapped-to", + "href": "#nist-800-37-r2:task-c-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-37-r2:task-a-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-37-r2:task-a-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-37-r2:task-a-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ca-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ca-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ca-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ca-02" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.308-a-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ca-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ca-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ca-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ca-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ca-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:ca-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ca-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ca-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.12.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.12.01" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.ra-01" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.im-01" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.im-02" + } + ] + }, + { + "id": "IAO-02.1", + "title": "Assessor Independence", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure assessors or assessment teams have the appropriate independence to conduct security, compliance and/or resilience control assessments." + }, + { + "name": "assessment-objective", + "id": "IAO-02.1_IAO-02.1_A01", + "prose": "independent assessors or assessment teams are employed to conduct control assessments." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-37-r2:task-a-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ca-2-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ca-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:ca-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ca-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ca-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ca-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:nfo-ca-2-1" + }, + { + "rel": "part-of", + "href": "#IAO-02" + } + ] + }, + { + "id": "IAO-02.2", + "title": "Specialized Assessments", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to conduct specialized assessments for: \r\n(1) Statutory, regulatory and contractual compliance obligations;\r\n(2) Monitoring capabilities; \r\n(3) Mobile devices;\r\n(4) Databases;\r\n(5) Application security;\r\n(6) Embedded technologies (e.g., IoT, OT, etc.);\r\n(7) Vulnerability management; \r\n(8) Malicious code; \r\n(9) Insider threats;\r\n(10) Performance/load testing; and/or\r\n(11) Artificial Intelligence and Autonomous Technologies (AAT)." + }, + { + "name": "assessment-objective", + "id": "IAO-02.2_IAO-02.2_A01", + "prose": "the frequency at which to include specialized assessments as part of the control assessment is defined." + }, + { + "name": "assessment-objective", + "id": "IAO-02.2_IAO-02.2_A02", + "prose": "other forms of announced or unannounced assessment are defined." + }, + { + "name": "assessment-objective", + "id": "IAO-02.2_IAO-02.2_A03", + "prose": "organization-defined specialized assessment frequencies are included as part of control assessments." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_16" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:ais-05" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:iot-01" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:set-01" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.21" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.23" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.29" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.21" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.23" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.29" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.6.2.5" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:map-2.3" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:measure-3.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:measure-3.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-37-r2:task-a-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ca-2-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ca-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-11-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sa-11-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:ca-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ca-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-11-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ca-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sa-11-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ca-2-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ca-2-2" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a01-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a02-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a05-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a06-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a07-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a09-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a10-2025" + }, + { + "rel": "part-of", + "href": "#IAO-02" + } + ] + }, + { + "id": "IAO-02.3", + "title": "Third-Party Assessment Reciprocity", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to accept and respond to the results of external assessments that are performed by impartial, external organizations." + }, + { + "name": "assessment-objective", + "id": "IAO-02.3_IAO-02.3_A01", + "prose": "external organizations from which the results of control assessments are leveraged are defined." + }, + { + "name": "assessment-objective", + "id": "IAO-02.3_IAO-02.3_A02", + "prose": "systems, applications and/or services on which a control assessment to be performed by an external organization are defined." + }, + { + "name": "assessment-objective", + "id": "IAO-02.3_IAO-02.3_A03", + "prose": "requirements to be met by the control assessment performed by an external organization on systems, applications and/or services are defined." + }, + { + "name": "assessment-objective", + "id": "IAO-02.3_IAO-02.3_A04", + "prose": "the results of control assessments performed by organization-defined external organizations on systems, applications and/or services are leveraged when the assessment meets organization-defined requirements." + }, + { + "name": "overview", + "class": "errata", + "prose": "- renamed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ca-2-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ca-02-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ca-02-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ca-2-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ca-2-3" + }, + { + "rel": "part-of", + "href": "#IAO-02" + } + ] + }, + { + "id": "IAO-02.4", + "title": "Security Assessment Report (SAR)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IAO-02.4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to produce a Security Assessment Report (SAR) at the conclusion of a security assessment to certify the results of the assessment and assist with any remediation actions." + }, + { + "name": "assessment-objective", + "id": "IAO-02.4_IAO-02.4_A01", + "prose": "produce a Security Assessment Report (SAR) at the conclusion of a security assessment to certify the results of the assessment and assist with any remediation actions." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:mea04.08" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:org-2.4-d" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-06-31" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-06-32" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-06-33-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-37-r2:task-a-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-37-r2:task-m-5" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.im-01" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.im-02" + }, + { + "rel": "part-of", + "href": "#IAO-02" + } + ] + }, + { + "id": "IAO-03", + "title": "Applied Security, Compliance and Resilience Controls Documentation", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IAO-03" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to generate authoritative documentation (e.g., System Security Plan (SSP)) that:\r\n(1) Identifies key architectural and implementation information on in-scope Technology Assets, Applications and/or Services (TAAS);\r\n(2) Reflects the current state of applied security, compliance and resilience controls on applicable People, Processes, Technologies, Data and/or Facilities (PPTDF) that are contained within the system boundary; and\r\n(3) Provides a historical record of applied security controls, including changes." + }, + { + "name": "assessment-objective", + "id": "IAO-03_IAO-03_A01", + "prose": "the system boundary is described and documented in the system security plan." + }, + { + "name": "assessment-objective", + "id": "IAO-03_IAO-03_A02", + "prose": "the system components on which sensitive / regulated data is processed are identified and documented." + }, + { + "name": "assessment-objective", + "id": "IAO-03_IAO-03_A03", + "prose": "the system components on which sensitive / regulated data is stored are identified and documented." + }, + { + "name": "assessment-objective", + "id": "IAO-03_IAO-03_A04", + "prose": "changes to the system or system component location where sensitive / regulated data is processed are documented." + }, + { + "name": "assessment-objective", + "id": "IAO-03_IAO-03_A05", + "prose": "changes to the system or system component location where sensitive / regulated data is stored are documented." + }, + { + "name": "assessment-objective", + "id": "IAO-03_IAO-03_A06", + "prose": "a system security plan that describes specific threats to the system that are of concern to the organization is developed." + }, + { + "name": "assessment-objective", + "id": "IAO-03_IAO-03_A07", + "prose": "a system security plan that describes the safeguards in place or planned for meeting the security requirements is developed." + }, + { + "name": "assessment-objective", + "id": "IAO-03_IAO-03_A08", + "prose": "a system security plan that identifies individuals that fulfill system roles and responsibilities is developed." + }, + { + "name": "assessment-objective", + "id": "IAO-03_IAO-03_A09", + "prose": "a system security plan that includes other relevant information necessary for the protection of sensitive / regulated data is developed." + }, + { + "name": "assessment-objective", + "id": "IAO-03_IAO-03_A10", + "prose": "the system security plan is reviewed per an organization-defined frequency." + }, + { + "name": "assessment-objective", + "id": "IAO-03_IAO-03_A11", + "prose": "the system security plan is protected from unauthorized disclosure." + }, + { + "name": "assessment-objective", + "id": "IAO-03_IAO-03_A12", + "prose": "the security requirements identified and approved by the designated authority as non-applicable are identified." + }, + { + "name": "assessment-objective", + "id": "IAO-03_IAO-03_A13", + "prose": "the method of security requirement implementation is described and documented in the system security plan." + }, + { + "name": "assessment-objective", + "id": "IAO-03_IAO-03_A14", + "prose": "the relationship with or connection to other systems is described and documented in the system security plan." + }, + { + "name": "assessment-objective", + "id": "IAO-03_IAO-03_A15", + "prose": "the system security plan documents or references the security solution selected." + }, + { + "name": "assessment-objective", + "id": "IAO-03_IAO-03_A16", + "prose": "the system security plan documents or references the rationale for the security solution." + }, + { + "name": "assessment-objective", + "id": "IAO-03_IAO-03_A17", + "prose": "the system security plan documents or references the risk determination." + }, + { + "name": "assessment-objective", + "id": "IAO-03_IAO-03_A18", + "prose": "individuals or groups with whom cybersecurity / data privacy-related activities affecting the system that require planning and coordination is/are assigned." + }, + { + "name": "assessment-objective", + "id": "IAO-03_IAO-03_A19", + "prose": "personnel or roles to receive distributed copies of the system cybersecurity / data privacy plans is/are assigned." + }, + { + "name": "assessment-objective", + "id": "IAO-03_IAO-03_A20", + "prose": "the frequency at which the system security plan is reviewed and updated is defined." + }, + { + "name": "assessment-objective", + "id": "IAO-03_IAO-03_A21", + "prose": "the system security plan is updated per an organization-defined frequency." + }, + { + "name": "assessment-objective", + "id": "IAO-03_IAO-03_A22", + "prose": "a security plan for the system is developed that is consistent with the organization's enterprise architecture." + }, + { + "name": "assessment-objective", + "id": "IAO-03_IAO-03_A23", + "prose": "a privacy plan for the system is developed that is consistent with the organization's enterprise architecture." + }, + { + "name": "assessment-objective", + "id": "IAO-03_IAO-03_A24", + "prose": "a system security plan that defines the constituent system components is developed." + }, + { + "name": "assessment-objective", + "id": "IAO-03_IAO-03_A25", + "prose": "a privacy plan for the system is developed that explicitly defines the constituent system components." + }, + { + "name": "assessment-objective", + "id": "IAO-03_IAO-03_A26", + "prose": "a security plan for the system is developed that describes the operational context of the system in terms of mission and business processes." + }, + { + "name": "assessment-objective", + "id": "IAO-03_IAO-03_A27", + "prose": "a privacy plan for the system is developed that describes the operational context of the system in terms of mission and business processes." + }, + { + "name": "assessment-objective", + "id": "IAO-03_IAO-03_A28", + "prose": "a security plan for the system is developed that identifies the individuals that fulfill system roles and responsibilities." + }, + { + "name": "assessment-objective", + "id": "IAO-03_IAO-03_A29", + "prose": "a privacy plan for the system is developed that identifies the individuals that fulfill system roles and responsibilities." + }, + { + "name": "assessment-objective", + "id": "IAO-03_IAO-03_A30", + "prose": "a system security plan that identifies the information types processed, stored, and transmitted by the system is developed." + }, + { + "name": "assessment-objective", + "id": "IAO-03_IAO-03_A31", + "prose": "a privacy plan for the system is developed that identifies the information types processed, stored and transmitted by the system." + }, + { + "name": "assessment-objective", + "id": "IAO-03_IAO-03_A32", + "prose": "a security plan for the system is developed that provides the security categorization of the system, including supporting rationale." + }, + { + "name": "assessment-objective", + "id": "IAO-03_IAO-03_A33", + "prose": "a privacy plan for the system is developed that provides the security categorization of the system, including supporting rationale." + }, + { + "name": "assessment-objective", + "id": "IAO-03_IAO-03_A34", + "prose": "a security plan for the system is developed that describes any specific threats to the system that are of concern to the organization." + }, + { + "name": "assessment-objective", + "id": "IAO-03_IAO-03_A35", + "prose": "a privacy plan for the system is developed that describes any specific threats to the system that are of concern to the organization." + }, + { + "name": "assessment-objective", + "id": "IAO-03_IAO-03_A36", + "prose": "a security plan for the system is developed that provides the results of a privacy risk assessment for systems processing Personal Data (PD)." + }, + { + "name": "assessment-objective", + "id": "IAO-03_IAO-03_A37", + "prose": "a privacy plan for the system is developed that provides the results of a privacy risk assessment for systems processing Personal Data (PD)." + }, + { + "name": "assessment-objective", + "id": "IAO-03_IAO-03_A38", + "prose": "a system security plan that describes the operational environment for the system and any dependencies on or connections to other systems or system components is developed." + }, + { + "name": "assessment-objective", + "id": "IAO-03_IAO-03_A39", + "prose": "a system security plan that provides an overview of the security requirements for the system is developed." + }, + { + "name": "assessment-objective", + "id": "IAO-03_IAO-03_A40", + "prose": "a privacy plan for the system is developed that provides an overview of the privacy requirements for the system." + }, + { + "name": "assessment-objective", + "id": "IAO-03_IAO-03_A41", + "prose": "a security plan for the system is developed that identifies any relevant control baselines or overlays, if applicable." + }, + { + "name": "assessment-objective", + "id": "IAO-03_IAO-03_A42", + "prose": "a privacy plan for the system is developed that identifies any relevant control baselines or overlays, if applicable." + }, + { + "name": "assessment-objective", + "id": "IAO-03_IAO-03_A43", + "prose": "a security plan for the system is developed that describes the controls in place or planned for meeting the security requirements, including rationale for any tailoring decisions." + }, + { + "name": "assessment-objective", + "id": "IAO-03_IAO-03_A44", + "prose": "a privacy plan for the system is developed that describes the controls in place or planned for meeting the privacy requirements, including rationale for any tailoring decisions." + }, + { + "name": "assessment-objective", + "id": "IAO-03_IAO-03_A45", + "prose": "a security plan for the system is developed that includes risk determinations for security architecture and design decisions." + }, + { + "name": "assessment-objective", + "id": "IAO-03_IAO-03_A46", + "prose": "a privacy plan for the system is developed that includes risk determinations for privacy architecture and design decisions." + }, + { + "name": "assessment-objective", + "id": "IAO-03_IAO-03_A47", + "prose": "a security plan for the system is developed that includes security-related activities affecting the system that require planning and coordination with individuals or groups." + }, + { + "name": "assessment-objective", + "id": "IAO-03_IAO-03_A48", + "prose": "a privacy plan for the system is developed that includes privacy-related activities affecting the system that require planning and coordination with individuals or groups." + }, + { + "name": "assessment-objective", + "id": "IAO-03_IAO-03_A49", + "prose": "a security plan for the system is developed that is reviewed and approved by the authorizing official or designated representative prior to plan implementation." + }, + { + "name": "assessment-objective", + "id": "IAO-03_IAO-03_A50", + "prose": "a privacy plan for the system is developed that is reviewed and approved by the authorizing official or designated representative prior to plan implementation." + }, + { + "name": "assessment-objective", + "id": "IAO-03_IAO-03_A51", + "prose": "copies of the plans are distributed to personnel or roles." + }, + { + "name": "assessment-objective", + "id": "IAO-03_IAO-03_A52", + "prose": "subsequent changes to the plans are communicated to personnel or roles." + }, + { + "name": "assessment-objective", + "id": "IAO-03_IAO-03_A53", + "prose": "plans are reviewed frequently." + }, + { + "name": "assessment-objective", + "id": "IAO-03_IAO-03_A54", + "prose": "plans are updated to address changes to the system and environment of operations." + }, + { + "name": "assessment-objective", + "id": "IAO-03_IAO-03_A55", + "prose": "plans are updated to address problems identified during the plan implementation." + }, + { + "name": "assessment-objective", + "id": "IAO-03_IAO-03_A56", + "prose": "plans are updated to address problems identified during control assessments." + }, + { + "name": "assessment-objective", + "id": "IAO-03_IAO-03_A57", + "prose": "plans are protected from unauthorized disclosure." + }, + { + "name": "assessment-objective", + "id": "IAO-03_IAO-03_A58", + "prose": "plans are protected from unauthorized modification." + }, + { + "name": "assessment-objective", + "id": "IAO-03_IAO-03_A59", + "prose": "the system components on which CUI is stored are identified and documented." + }, + { + "name": "assessment-objective", + "id": "IAO-03_IAO-03_A60", + "prose": "the system components on which CUI is stored are identified and documented." + }, + { + "name": "assessment-objective", + "id": "IAO-03_IAO-03_A61", + "prose": "changes to the system or system component location where CUI is processed are documented." + }, + { + "name": "assessment-objective", + "id": "IAO-03_IAO-03_A62", + "prose": "changes to the system or system component location where CUI is stored are documented." + }, + { + "name": "assessment-objective", + "id": "IAO-03_IAO-03_A63", + "prose": "a system security plan that includes other relevant information necessary for the protection of CUI is developed." + }, + { + "name": "assessment-objective", + "id": "IAO-03_IAO-03_A64", + "prose": "the system security plan is reviewed ." + }, + { + "name": "assessment-objective", + "id": "IAO-03_IAO-03_A65", + "prose": "the system security plan is updated ." + }, + { + "name": "overview", + "class": "errata", + "prose": "- renamed\r\n- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-06-05" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-06-05-a" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-06-05-b" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-06-06" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-06-07" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-06-08" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-06-10" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-06-11" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-06-18" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-06-23" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-09-01-a" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-09-01-b" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-09-01-c" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-09-02" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-09-08" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-09-08-a" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-09-08-b" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-09-09" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-09-10" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-09-11" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-09-11-a" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-09-11-b" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-12-01" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-12-02" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-12-02-a" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-12-02-b" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-12-02-c" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-12-02-d" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-12-03" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:manage-4.0" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:id.im-p7" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:id.be-p3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-37-r2:task-c-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-37-r2:task-s-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-37-r2:task-s-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-37-r2:task-s-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:pl-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pl-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pl-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:pl-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pl-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pl-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pl-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pl-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pl-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:pl-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:pl-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:pl-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.12.4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.11.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.15.02.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.15.02.a.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.15.02.a.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.15.02.a.03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.15.02.a.04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.15.02.a.05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.15.02.a.06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.15.02.a.07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.15.02.a.08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.15.02.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.12.4-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.12.4-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.12.4-c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.12.4-d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.12.4-e" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.12.4-f" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.12.4-g" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.12.4-h" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.04.11.a-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.04.11.a-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.04.11.b-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.04.11.b-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.15.02.odp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.15.02.a.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.15.02.a.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.15.02.a.03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.15.02.a.04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.15.02.a.05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.15.02.a.06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.15.02.a.07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.15.02.a.08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.15.02.b-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.15.02.b-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.15.02.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.11.4e" + } + ] + }, + { + "id": "IAO-03.1", + "title": "Plan / Coordinate with Other Organizational Entities", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IAO-03.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to plan and coordinate Information Assurance Program (IAP) activities with affected stakeholders before conducting such activities in order to reduce the potential impact on operations." + }, + { + "name": "assessment-objective", + "id": "IAO-03.1_IAO-03.1_A01", + "prose": "a cybersecurity / data privacy plan for the system is developed that describes the operational environment for the system and any dependencies on or connections to other systems or system components." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-37-r2:task-p-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:pl-2-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pl-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pl-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:pl-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pl-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pl-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pl-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pl-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pl-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:pl-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:pl-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:pl-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:nfo-pl-2-3" + }, + { + "rel": "part-of", + "href": "#IAO-03" + } + ] + }, + { + "id": "IAO-03.2", + "title": "Adequate Security for Sensitive / Regulated Data In Support of Contracts", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IAO-03.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to protect sensitive/regulated data that is collected, developed, received, transmitted, used or stored in support of the performance of a contract." + }, + { + "name": "assessment-objective", + "id": "IAO-03.2_IAO-03.2_A01", + "prose": "sensitive / regulated data that is collected, developed, received, transmitted, used or stored in support of the performance of a contract is protected." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_15.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_15.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_15.4" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dsp-17" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:ipy-04" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:cls-04" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-6.1-004" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:id.de-p3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.12.4" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-05" + }, + { + "rel": "part-of", + "href": "#IAO-03" + } + ] + }, + { + "id": "IAO-04", + "title": "Threat Analysis & Flaw Remediation During Development", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to require system developers and integrators to create and execute a Security Testing and Evaluation (ST&E) plan, or similar process, to identify and remediate flaws during development." + }, + { + "name": "assessment-objective", + "id": "IAO-04_IAO-04_A01", + "prose": "the breadth of penetration testing is defined." + }, + { + "name": "assessment-objective", + "id": "IAO-04_IAO-04_A02", + "prose": "the depth of penetration testing is defined." + }, + { + "name": "assessment-objective", + "id": "IAO-04_IAO-04_A03", + "prose": "constraints of penetration testing are defined." + }, + { + "name": "assessment-objective", + "id": "IAO-04_IAO-04_A04", + "prose": "the developer of the system, system component, or system service is required to perform penetration testing at an organization-defined breadth." + }, + { + "name": "assessment-objective", + "id": "IAO-04_IAO-04_A05", + "prose": "the developer of the system, system component, or system service is required to perform penetration testing at an organization-defined level of rigor." + }, + { + "name": "assessment-objective", + "id": "IAO-04_IAO-04_A06", + "prose": "the developer of the system, system component, or system service is required to perform penetration testing under organization-defined constraints." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss06.04" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_16" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_17" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:org-2.4-c" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-09-03" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-09-03-a" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-09-03-b" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-09-03-c" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-09-03-d" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-09-03-e" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-09-03-f" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.25" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.25" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_10.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_10.2-a" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_10.2-a-1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_10.2-a-2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_10.2-b" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_10.2-b-1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_10.2-b-2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_10.2-b-3" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_10.2-c" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_10.2-d" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_10.2-e" + }, + { + "rel": "mapped-to", + "href": "#nist-800-37-r2:task-a-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-37-r2:task-m-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-11-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sa-11-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-11-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sa-11-05" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a01-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a02-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a05-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a06-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a07-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a09-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a10-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.2.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.4.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.4.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:a1.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_6.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_6.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_6.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_6.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_6.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_11.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_11.4.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_6.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_6.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_6.2.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_6.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.2.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_11.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_11.4.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.2.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.4.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.4.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:a1.2.3" + } + ] + }, + { + "id": "IAO-05", + "title": "Capabilities Deficiency Tracking", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IAO-05" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to govern identified deficiencies (e.g., Plan of Action and Milestones (POA&M) or similar methodology) that formally documents, at a minimum:\r\n(1) Deficiency tracking number;\r\n(2) Applicable security, compliance and/or resilience control;\r\n(3) Description of the deficiency(ies);\r\n(4) Risk associated with the deficiency(ies);\r\n(5) Source deficiency identification/detection;\r\n(6) Temporary compensating controls, if applicable;\r\n(7) Point of Contact (POC) (e.g., asset/process owner);\r\n(8) Resources required to conduct remediation actions;\r\n(9) Planned remedial actions to the deficiency(ies);\r\n(10) Proposed remediation timeline; and\r\n(11) Disposition statement (e.g., closeout summary)." + }, + { + "name": "assessment-objective", + "id": "IAO-05_IAO-05_A01", + "prose": "deficiencies and vulnerabilities to be addressed by the plan of action are identified." + }, + { + "name": "assessment-objective", + "id": "IAO-05_IAO-05_A02", + "prose": "a plan of action is developed to document the planned remediation actions of the organization to correct weaknesses or deficiencies noted during the assessment of the controls and to reduce or eliminate known vulnerabilities in the system." + }, + { + "name": "assessment-objective", + "id": "IAO-05_IAO-05_A03", + "prose": "the frequency at which to update an existing plan of action based on the findings from control assessments, independent audits or reviews and continuous monitoring activities is defined." + }, + { + "name": "assessment-objective", + "id": "IAO-05_IAO-05_A04", + "prose": "existing plan of action is updated organization-defined frequency based on the findings from control assessments, independent audits or reviews and continuous monitoring activities." + }, + { + "name": "assessment-objective", + "id": "IAO-05_IAO-05_A05", + "prose": "a process to ensure the plan of action for the cybersecurity program and associated organizational systems is developed." + }, + { + "name": "assessment-objective", + "id": "IAO-05_IAO-05_A06", + "prose": "a process to ensure the plan of action for the cybersecurity program and associated organizational systems is maintained." + }, + { + "name": "assessment-objective", + "id": "IAO-05_IAO-05_A07", + "prose": "a process to ensure the plan of action for the privacy program and associated organizational systems is developed." + }, + { + "name": "assessment-objective", + "id": "IAO-05_IAO-05_A08", + "prose": "a process to ensure the plan of action for the privacy program and associated organizational systems is maintained." + }, + { + "name": "assessment-objective", + "id": "IAO-05_IAO-05_A09", + "prose": "a process to ensure the plan of action for the supply chain risk management program and associated organizational systems is developed." + }, + { + "name": "assessment-objective", + "id": "IAO-05_IAO-05_A10", + "prose": "a process to ensure the plan of action for the supply chain risk management program and associated organizational systems is maintained." + }, + { + "name": "assessment-objective", + "id": "IAO-05_IAO-05_A11", + "prose": "a process to ensure the plan of action for the cybersecurity program and associated organizational systems documents remedial cybersecurity risk management actions to adequately respond to risks to organizational operations and assets, individuals, other organizations and the Nation." + }, + { + "name": "assessment-objective", + "id": "IAO-05_IAO-05_A12", + "prose": "a process to ensure the plan of action for the privacy program and associated organizational systems documents remedial privacy risk management actions to adequately respond to risks to organizational operations and assets, individuals, other organizations and the Nation." + }, + { + "name": "assessment-objective", + "id": "IAO-05_IAO-05_A13", + "prose": "a process to ensure the plan of action for the supply chain risk management program and associated organizational systems documents remedial supply chain risk management actions to adequately respond to risks to organizational operations and assets, individuals, other organizations and the Nation." + }, + { + "name": "assessment-objective", + "id": "IAO-05_IAO-05_A14", + "prose": "a process to ensure the plan of action for the cybersecurity risk management programs and associated organizational systems is reported in accordance with established reporting requirements." + }, + { + "name": "assessment-objective", + "id": "IAO-05_IAO-05_A15", + "prose": "a process to ensure the plan of action for the privacy risk management programs and associated organizational systems is reported in accordance with established reporting requirements." + }, + { + "name": "assessment-objective", + "id": "IAO-05_IAO-05_A16", + "prose": "a process to ensure the plan of action for the supply chain risk management programs and associated organizational systems is reported in accordance with established reporting requirements." + }, + { + "name": "assessment-objective", + "id": "IAO-05_IAO-05_A17", + "prose": "plan of action is reviewed for consistency with the organizational risk management strategy." + }, + { + "name": "assessment-objective", + "id": "IAO-05_IAO-05_A18", + "prose": "plan of action is reviewed for consistency with organization-wide priorities for risk response actions." + }, + { + "name": "assessment-objective", + "id": "IAO-05_IAO-05_A19", + "prose": "the developer of the system, system component or system service is required to select and employ security tracking tools for use during the development process." + }, + { + "name": "assessment-objective", + "id": "IAO-05_IAO-05_A20", + "prose": "the developer of the system, system component or system service is required to select and employ privacy tracking tools for use during the development process." + }, + { + "name": "assessment-objective", + "id": "IAO-05_IAO-05_A21", + "prose": "the frequency at which to update an existing plan of action based on the findings from control assessments, independent audits or reviews and continuous monitoring activities is defined." + }, + { + "name": "assessment-objective", + "id": "IAO-05_IAO-05_A22", + "prose": "a plan of action is developed to document the planned remediation actions of the organization to correct weaknesses or deficiencies noted during the assessment of the controls and to reduce or eliminate known vulnerabilities in the system." + }, + { + "name": "assessment-objective", + "id": "IAO-05_IAO-05_A23", + "prose": "existing plan of action is updated per an organization-defined frequency based on the findings from control assessments, independent audits or reviews and continuous monitoring activities." + }, + { + "name": "assessment-objective", + "id": "IAO-05_IAO-05_A24", + "prose": "a plan of action is developed to document the planned remediation actions for correcting weaknesses or deficiencies noted during security assessments." + }, + { + "name": "assessment-objective", + "id": "IAO-05_IAO-05_A25", + "prose": "a plan of action is developed to reduce or eliminate known system vulnerabilities." + }, + { + "name": "assessment-objective", + "id": "IAO-05_IAO-05_A26", + "prose": "the existing plan of action is updated based on the findings from security assessments." + }, + { + "name": "assessment-objective", + "id": "IAO-05_IAO-05_A27", + "prose": "the existing plan of action is updated based on the findings from audits or reviews." + }, + { + "name": "assessment-objective", + "id": "IAO-05_IAO-05_A28", + "prose": "the existing plan of action is updated based on the findings from continuous monitoring activities." + }, + { + "name": "assessment-objective", + "id": "IAO-05_IAO-05_A29", + "prose": "the plan of action is implemented to correct identified deficiencies and reduce or eliminate identified vulnerabilities." + }, + { + "name": "overview", + "class": "errata", + "prose": "- renamed\r\n- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo12.05" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:mea03.04" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:mea04.09" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_17" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:a-a-06" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-09-07-a" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-09-07-b" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-09-07-c" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-09-07-d" + }, + { + "rel": "mapped-to", + "href": "#iso-31010-2009:_4.3.6" + }, + { + "rel": "mapped-to", + "href": "#iso-31010-2009:_5.6" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_9.3.2-a" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_9.3.2-b" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_10.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_10.2-a" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_10.2-a-1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_10.2-a-2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_10.2-b" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_10.2-b-1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_10.2-b-2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_10.2-b-3" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_10.2-c" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_10.2-d" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_10.2-e" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:measure-3.0" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:measure-3.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:measure-3.2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:manage-1.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:manage-1.2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:manage-1.3" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:manage-1.4" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:manage-3.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:manage-4.0" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:gv.mt-p4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-37-r2:task-i-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-37-r2:task-a-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-37-r2:task-a-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-37-r2:task-r-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-39:_3.4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ca-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:pm-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ca-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pm-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-15-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ca-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pm-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ca-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ca-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pm-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-15-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ca-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pm-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ca-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pm-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ca-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pm-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ca-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pm-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:ca-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ca-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:pm-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ca-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:pm-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.12.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.11.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.12.02.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.12.02.a.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.12.02.a.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.12.02.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.12.02.b.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.12.02.b.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.12.02.b.03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.14.01.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.12.2-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.12.2-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.12.2-c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.12.02.a.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.12.02.a.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.12.02.b.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.12.02.b.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.12.02.b.03" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.ra-01" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.im-01" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.im-02" + } + ] + }, + { + "id": "IAO-05.1", + "title": "Deficiency Tracking Automation", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to help ensure tracked deficiencies are: \r\n(1) Accurate;\r\n(2) Up-to-date; and \r\n(3) Readily-available." + }, + { + "name": "assessment-objective", + "id": "IAO-05.1_IAO-05.1_A01", + "prose": "automated mechanisms used to ensure the accuracy, currency, and availability of the plan of action for the system are defined." + }, + { + "name": "assessment-objective", + "id": "IAO-05.1_IAO-05.1_A02", + "prose": "organization-defined automated mechanisms are used to ensure the accuracy, currency, and availability of the plan of action for the system." + }, + { + "name": "overview", + "class": "errata", + "prose": "- renamed\r\n- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ca-5-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ca-05-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ca-05-01" + }, + { + "rel": "part-of", + "href": "#IAO-05" + } + ] + }, + { + "id": "IAO-06", + "title": "Technical Verification", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IAO-06" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management", + "value": "3.5.3.3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to perform Information Assurance Program (IAP) activities to evaluate the design, implementation and effectiveness of technical security, compliance and resilience controls." + }, + { + "name": "assessment-objective", + "id": "IAO-06_IAO-06_A01", + "prose": "the frequency at which to assess controls in the system and its environment of operation is defined." + }, + { + "name": "assessment-objective", + "id": "IAO-06_IAO-06_A02", + "prose": "individuals or roles to whom control assessment results are to be provided are defined." + }, + { + "name": "assessment-objective", + "id": "IAO-06_IAO-06_A03", + "prose": "an appropriate assessor or assessment team is selected for the type of assessment to be conducted." + }, + { + "name": "assessment-objective", + "id": "IAO-06_IAO-06_A04", + "prose": "a control assessment plan is developed that describes the scope of the assessment, including controls and control enhancements under assessment." + }, + { + "name": "assessment-objective", + "id": "IAO-06_IAO-06_A05", + "prose": "the control assessment plan is reviewed and approved by the authorizing official or designated representative prior to conducting the assessment." + }, + { + "name": "assessment-objective", + "id": "IAO-06_IAO-06_A06", + "prose": "controls are assessed in the system and its environment of operation per an organization-defined assessment frequency to determine the extent to which the controls are implemented correctly, operating as intended and producing the desired outcome with respect to meeting established cybersecurity / data privacy requirements." + }, + { + "name": "assessment-objective", + "id": "IAO-06_IAO-06_A07", + "prose": "a control assessment report is produced that documents the results of the assessment." + }, + { + "name": "assessment-objective", + "id": "IAO-06_IAO-06_A08", + "prose": "the results of the control assessment are provided to individuals or roles." + }, + { + "name": "assessment-objective", + "id": "IAO-06_IAO-06_A09", + "prose": "the impacted controls are implemented correctly with regard to meeting the cybersecurity / data privacy requirements for the system after system changes." + }, + { + "name": "assessment-objective", + "id": "IAO-06_IAO-06_A10", + "prose": "the impacted controls are operating as intended with regard to meeting the cybersecurity / data privacy requirements for the system after system changes." + }, + { + "name": "assessment-objective", + "id": "IAO-06_IAO-06_A11", + "prose": "the impacted controls are producing the desired outcome with regard to meeting the cybersecurity / data privacy requirements for the system after system changes." + }, + { + "name": "assessment-objective", + "id": "IAO-06_IAO-06_A12", + "prose": "a control assessment plan is developed that describes the scope of the assessment, including assessment procedures to be used to determine control effectiveness." + }, + { + "name": "assessment-objective", + "id": "IAO-06_IAO-06_A13", + "prose": "a control assessment plan is developed that describes the scope of the assessment, including the assessment environment." + }, + { + "name": "assessment-objective", + "id": "IAO-06_IAO-06_A14", + "prose": "a control assessment plan is developed that describes the scope of the assessment, including the assessment team." + }, + { + "name": "assessment-objective", + "id": "IAO-06_IAO-06_A15", + "prose": "a control assessment plan is developed that describes the scope of the assessment, including assessment roles and responsibilities." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_16" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:iot-01" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:org-2.4-b" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.6.2.5" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:measure-2.0" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ca-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cm-4-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ca-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cm-04-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ca-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ca-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:cm-04-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ca-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cm-04-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ca-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ca-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:cm-04-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ca-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cm-04-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ca-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:ca-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ca-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ca-2" + } + ] + }, + { + "id": "IAO-07", + "title": "Security Authorization", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "IAO-07" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management", + "value": "3.5.3.3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure Technology Assets, Applications and/or Services (TAAS) are officially authorized prior to \"go live\" in a production environment." + }, + { + "name": "assessment-objective", + "id": "IAO-07_IAO-07_A01", + "prose": "the frequency at which to update the authorizations is defined." + }, + { + "name": "assessment-objective", + "id": "IAO-07_IAO-07_A02", + "prose": "a senior official is assigned as the authorizing official for the system." + }, + { + "name": "assessment-objective", + "id": "IAO-07_IAO-07_A03", + "prose": "the authorizations are updated organization-defined frequency." + }, + { + "name": "assessment-objective", + "id": "IAO-07_IAO-07_A04", + "prose": "a senior official is assigned as the authorizing official for common controls available for inheritance by organizational systems." + }, + { + "name": "assessment-objective", + "id": "IAO-07_IAO-07_A05", + "prose": "before commencing operations, the authorizing official for the system accepts the use of common controls inherited by the system." + }, + { + "name": "assessment-objective", + "id": "IAO-07_IAO-07_A06", + "prose": "before commencing operations, the authorizing official for the system authorizes the system to operate." + }, + { + "name": "assessment-objective", + "id": "IAO-07_IAO-07_A07", + "prose": "the authorizing official for common controls authorizes the use of those controls for inheritance by organizational systems." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:iot-01" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.6.2.5" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:manage-1.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-37-r2:task-p-18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-37-r2:task-r-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-37-r2:task-r-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-37-r2:task-r-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-37-r2:task-r-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-37-r2:task-m-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-37-r2:task-m-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ca-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ca-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ca-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ca-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ca-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ca-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ca-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ca-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ca-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:ca-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:ca-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ca-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ca-6" + } + ] + } + ] + }, + { + "id": "maintenance", + "title": "Maintenance", + "controls": [ + { + "id": "MNT-01", + "title": "Maintenance Operations", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "MNT-01" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.33", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.34", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.35", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.36", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.37", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.38", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.39", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to develop, disseminate, review & update procedures to facilitate the implementation of maintenance controls across the enterprise." + }, + { + "name": "assessment-objective", + "id": "MNT-01_MNT-01_A01", + "prose": "a maintenance policy is developed and documented." + }, + { + "name": "assessment-objective", + "id": "MNT-01_MNT-01_A02", + "prose": "the maintenance policy is disseminated to organization-defined personnel or roles." + }, + { + "name": "assessment-objective", + "id": "MNT-01_MNT-01_A03", + "prose": "maintenance procedures to facilitate the implementation of the maintenance policy and associated maintenance controls are developed and documented." + }, + { + "name": "assessment-objective", + "id": "MNT-01_MNT-01_A04", + "prose": "the maintenance procedures are disseminated to organization-defined personnel or roles." + }, + { + "name": "assessment-objective", + "id": "MNT-01_MNT-01_A05", + "prose": "personnel or roles to whom the maintenance policy is to be disseminated is/are defined." + }, + { + "name": "assessment-objective", + "id": "MNT-01_MNT-01_A06", + "prose": "personnel or roles to whom the maintenance procedures are to be disseminated is/are defined." + }, + { + "name": "assessment-objective", + "id": "MNT-01_MNT-01_A07", + "prose": "one or more of the following organization-defined criteria is/are selected: {organization-level. mission/business process-level. system-level}." + }, + { + "name": "assessment-objective", + "id": "MNT-01_MNT-01_A08", + "prose": "an official to manage the maintenance policy and procedures is defined." + }, + { + "name": "assessment-objective", + "id": "MNT-01_MNT-01_A09", + "prose": "the frequency with which the current maintenance policy is reviewed / updated is defined." + }, + { + "name": "assessment-objective", + "id": "MNT-01_MNT-01_A10", + "prose": "events that would require the current maintenance policy to be reviewed / updated are defined." + }, + { + "name": "assessment-objective", + "id": "MNT-01_MNT-01_A11", + "prose": "the frequency with which the current maintenance procedures are reviewed / updated is defined." + }, + { + "name": "assessment-objective", + "id": "MNT-01_MNT-01_A12", + "prose": "events that would require the maintenance procedures to be reviewed / updated are defined." + }, + { + "name": "assessment-objective", + "id": "MNT-01_MNT-01_A13", + "prose": "the organization's maintenance policy addresses purpose." + }, + { + "name": "assessment-objective", + "id": "MNT-01_MNT-01_A14", + "prose": "the organization's maintenance policy addresses scope." + }, + { + "name": "assessment-objective", + "id": "MNT-01_MNT-01_A15", + "prose": "the organization's maintenance policy addresses roles." + }, + { + "name": "assessment-objective", + "id": "MNT-01_MNT-01_A16", + "prose": "the organization's maintenance policy addresses responsibilities." + }, + { + "name": "assessment-objective", + "id": "MNT-01_MNT-01_A17", + "prose": "the organization's maintenance policy addresses management commitment." + }, + { + "name": "assessment-objective", + "id": "MNT-01_MNT-01_A18", + "prose": "the organization's maintenance policy addresses coordination among organizational entities." + }, + { + "name": "assessment-objective", + "id": "MNT-01_MNT-01_A19", + "prose": "the organization's maintenance policy addresses compliance." + }, + { + "name": "assessment-objective", + "id": "MNT-01_MNT-01_A20", + "prose": "the organization's maintenance policy is consistent with applicable laws, Executive Orders, directives, regulations, policies, standards, and guidelines." + }, + { + "name": "assessment-objective", + "id": "MNT-01_MNT-01_A21", + "prose": "the organization-defined official is designated to manage the development, documentation, and dissemination of the maintenance policy and procedures." + }, + { + "name": "assessment-objective", + "id": "MNT-01_MNT-01_A22", + "prose": "the current maintenance policy is reviewed / updated organization-defined frequency." + }, + { + "name": "assessment-objective", + "id": "MNT-01_MNT-01_A23", + "prose": "the current maintenance policy is reviewed / updated following organization-defined events." + }, + { + "name": "assessment-objective", + "id": "MNT-01_MNT-01_A24", + "prose": "the current maintenance procedures are reviewed / updated organization-defined frequency." + }, + { + "name": "assessment-objective", + "id": "MNT-01_MNT-01_A25", + "prose": "the current maintenance procedures are reviewed / updated following organization-defined events." + }, + { + "name": "assessment-objective", + "id": "MNT-01_MNT-01_A26", + "prose": "maintenance management operations are conducted according to documented policies, standards, procedures and/or other organizational directives." + }, + { + "name": "assessment-objective", + "id": "MNT-01_MNT-01_A27", + "prose": "adequate resources (e.g., people, processes, technologies, data and/or facilities) are provided to support maintenance management operations." + }, + { + "name": "assessment-objective", + "id": "MNT-01_MNT-01_A28", + "prose": "responsibility and authority for the performance of maintenance management-related activities are assigned to designated personnel." + }, + { + "name": "assessment-objective", + "id": "MNT-01_MNT-01_A29", + "prose": "personnel performing maintenance management-related activities have the skills and knowledge needed to perform their assigned duties." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:opa-01" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_7.13" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_11.2.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_7.13" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:pr.ma-p" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:pr.ma-p1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ma-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ma-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ma-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ma-01" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.310-a" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.310-d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ma-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ma-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ma-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ma-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ma-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:ma-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:ma-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:ma-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ma-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ma-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:nfo-ma-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.03.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.07.04.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.07.06.a" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ps" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ps-02" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ps-03" + } + ] + }, + { + "id": "MNT-02", + "title": "Controlled Maintenance", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "MNT-02" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to conduct controlled maintenance activities throughout the lifecycle of the Technology Asset, Application and/or Service (TAAS)." + }, + { + "name": "assessment-objective", + "id": "MNT-02_MNT-02_A01", + "prose": "maintenance, repair and replacement of systems, applications and/or services are scheduled in accordance with manufacturer or vendor specifications and/or organizational requirements." + }, + { + "name": "assessment-objective", + "id": "MNT-02_MNT-02_A02", + "prose": "approved configuration-controlled changes to the system are implemented." + }, + { + "name": "assessment-objective", + "id": "MNT-02_MNT-02_A03", + "prose": "system maintenance is performed." + }, + { + "name": "assessment-objective", + "id": "MNT-02_MNT-02_A04", + "prose": "personnel or roles required to explicitly approve the removal of the system or system components from organizational facilities for off-site maintenance or repairs is/are defined." + }, + { + "name": "assessment-objective", + "id": "MNT-02_MNT-02_A05", + "prose": "information to be removed from associated media prior to removal from organizational facilities for off-site maintenance, repair or replacement is defined." + }, + { + "name": "assessment-objective", + "id": "MNT-02_MNT-02_A06", + "prose": "information to be included in organizational maintenance records is defined." + }, + { + "name": "assessment-objective", + "id": "MNT-02_MNT-02_A07", + "prose": "maintenance, repair and replacement of system components are documented in accordance with manufacturer or vendor specifications and/or organizational requirements." + }, + { + "name": "assessment-objective", + "id": "MNT-02_MNT-02_A08", + "prose": "records of maintenance, repair and replacement of system components are reviewed in accordance with manufacturer or vendor specifications and/or organizational requirements." + }, + { + "name": "assessment-objective", + "id": "MNT-02_MNT-02_A09", + "prose": "all maintenance activities, whether performed on site or remotely and whether the system or system components are serviced on site or removed to another location, are approved." + }, + { + "name": "assessment-objective", + "id": "MNT-02_MNT-02_A10", + "prose": "all maintenance activities, whether performed on site or remotely and whether the system or system components are serviced on site or removed to another location, are monitored." + }, + { + "name": "assessment-objective", + "id": "MNT-02_MNT-02_A11", + "prose": "personnel or roles is/are required to explicitly approve the removal of the system or system components from organizational facilities for off-site maintenance, repair or replacement." + }, + { + "name": "assessment-objective", + "id": "MNT-02_MNT-02_A12", + "prose": "equipment is sanitized to remove information from associated media prior to removal from organizational facilities for off-site maintenance, repair or replacement." + }, + { + "name": "assessment-objective", + "id": "MNT-02_MNT-02_A13", + "prose": "all potentially impacted controls are checked to verify that the controls are still functioning properly following maintenance, repair or replacement actions." + }, + { + "name": "assessment-objective", + "id": "MNT-02_MNT-02_A14", + "prose": "information is included in organizational maintenance records." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:opa-01" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_7.13" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_11.2.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_7.13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ma-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ma-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ma-02" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.310-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ma-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ma-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ma-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ma-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ma-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.7.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.03.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.07.04.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.07.05.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.7.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.04.03.c-01" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ps" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ps-02" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ps-03" + } + ] + }, + { + "id": "MNT-02.1", + "title": "Automated Maintenance Activities", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to schedule, conduct and document maintenance and repairs." + }, + { + "name": "assessment-objective", + "id": "MNT-02.1_MNT-02.1_A01", + "prose": "automated mechanisms used to schedule maintenance, repair and replacement actions for the system, application and/or service are defined." + }, + { + "name": "assessment-objective", + "id": "MNT-02.1_MNT-02.1_A02", + "prose": "automated mechanisms used to conduct maintenance, repair and replacement actions for the system, application and/or service are defined." + }, + { + "name": "assessment-objective", + "id": "MNT-02.1_MNT-02.1_A03", + "prose": "automated mechanisms used to document maintenance, repair and replacement actions for the system, application and/or service are defined." + }, + { + "name": "assessment-objective", + "id": "MNT-02.1_MNT-02.1_A04", + "prose": "automated mechanisms are used to schedule maintenance, repair and replacement actions for the system, application and/or service." + }, + { + "name": "assessment-objective", + "id": "MNT-02.1_MNT-02.1_A05", + "prose": "automated mechanisms are used to conduct maintenance, repair and replacement actions for the system, application and/or service." + }, + { + "name": "assessment-objective", + "id": "MNT-02.1_MNT-02.1_A06", + "prose": "automated mechanisms are used to document maintenance, repair and replacement actions for the system, application and/or service." + }, + { + "name": "assessment-objective", + "id": "MNT-02.1_MNT-02.1_A07", + "prose": "up-to-date, accurate and complete records of all maintenance actions requested, scheduled, in process and completed are produced." + }, + { + "name": "assessment-objective", + "id": "MNT-02.1_MNT-02.1_A08", + "prose": "up-to-date, accurate and complete records of all repair actions requested, scheduled, in process and completed are produced." + }, + { + "name": "assessment-objective", + "id": "MNT-02.1_MNT-02.1_A09", + "prose": "up-to-date, accurate and complete records of all replacement actions requested, scheduled, in process and completed are produced." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ma-2-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ma-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:ma-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ma-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ma-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ma-2-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ma-2-2" + }, + { + "rel": "part-of", + "href": "#MNT-02" + } + ] + }, + { + "id": "MNT-03", + "title": "Timely Maintenance", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "MNT-03" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to obtain maintenance support and/or spare parts for Technology Assets, Applications and/or Services (TAAS) within a defined Recovery Time Objective (RTO)." + }, + { + "name": "assessment-objective", + "id": "MNT-03_MNT-03_A01", + "prose": "system components for which maintenance support and/or spare parts are obtained are defined." + }, + { + "name": "assessment-objective", + "id": "MNT-03_MNT-03_A02", + "prose": "time period within which maintenance support and/or spare parts are to be obtained after a failure are defined." + }, + { + "name": "assessment-objective", + "id": "MNT-03_MNT-03_A03", + "prose": "maintenance support and/or spare parts are obtained for system components within an organization-defined time period of failure." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:opa-01" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_7.13" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_11.2.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_7.13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ma-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ma-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:ma-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ma-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ma-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ma-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ma-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ma-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.07.04.a" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ps-02" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ps-03" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.3" + } + ] + }, + { + "id": "MNT-03.1", + "title": "Preventative Maintenance", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "MNT-03.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to perform preventive maintenance on critical Technology Assets, Applications and/or Services (TAAS)." + }, + { + "name": "assessment-objective", + "id": "MNT-03.1_MNT-03.1_A01", + "prose": "system components on which preventive maintenance is to be performed are defined." + }, + { + "name": "assessment-objective", + "id": "MNT-03.1_MNT-03.1_A02", + "prose": "time intervals within which preventive maintenance is to be performed on system components are defined." + }, + { + "name": "assessment-objective", + "id": "MNT-03.1_MNT-03.1_A03", + "prose": "preventive maintenance is performed on system components at organization-defined time intervals." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:opa-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ma-6-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ma-06-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ma-06-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.07.04.a" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ps-02" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ps-03" + }, + { + "rel": "part-of", + "href": "#MNT-03" + } + ] + }, + { + "id": "MNT-03.2", + "title": "Predictive Maintenance", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to perform predictive maintenance on critical Technology Assets, Applications and/or Services (TAAS)." + }, + { + "name": "assessment-objective", + "id": "MNT-03.2_MNT-03.2_A01", + "prose": "system components on which predictive maintenance is to be performed are defined." + }, + { + "name": "assessment-objective", + "id": "MNT-03.2_MNT-03.2_A02", + "prose": "time intervals within which predictive maintenance is to be performed are defined." + }, + { + "name": "assessment-objective", + "id": "MNT-03.2_MNT-03.2_A03", + "prose": "predictive maintenance is performed on system components at organization-defined time intervals." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ma-6-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ma-06-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ma-06-02" + }, + { + "rel": "part-of", + "href": "#MNT-03" + } + ] + }, + { + "id": "MNT-03.3", + "title": "Automated Support For Predictive Maintenance", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to transfer predictive maintenance data to a computerized maintenance management system." + }, + { + "name": "assessment-objective", + "id": "MNT-03.3_MNT-03.3_A01", + "prose": "automated mechanisms used to transfer predictive maintenance data to a maintenance management system are defined." + }, + { + "name": "assessment-objective", + "id": "MNT-03.3_MNT-03.3_A02", + "prose": "predictive maintenance data is transferred to a maintenance management system using automated mechanisms." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:opa-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ma-6-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ma-06-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ma-06-03" + }, + { + "rel": "part-of", + "href": "#MNT-03" + } + ] + }, + { + "id": "MNT-04", + "title": "Maintenance Tools", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "MNT-04" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to control and monitor the use of system maintenance tools." + }, + { + "name": "assessment-objective", + "id": "MNT-04_MNT-04_A01", + "prose": "tools used to conduct system maintenance are controlled." + }, + { + "name": "assessment-objective", + "id": "MNT-04_MNT-04_A02", + "prose": "techniques used to conduct system maintenance are controlled." + }, + { + "name": "assessment-objective", + "id": "MNT-04_MNT-04_A03", + "prose": "mechanisms used to conduct system maintenance are controlled." + }, + { + "name": "assessment-objective", + "id": "MNT-04_MNT-04_A04", + "prose": "personnel used to conduct system maintenance are controlled." + }, + { + "name": "assessment-objective", + "id": "MNT-04_MNT-04_A05", + "prose": "the use of maintenance tools that execute with increased privilege is monitored." + }, + { + "name": "assessment-objective", + "id": "MNT-04_MNT-04_A06", + "prose": "the frequency at which to review previously approved system maintenance tools is defined." + }, + { + "name": "assessment-objective", + "id": "MNT-04_MNT-04_A07", + "prose": "the use of system maintenance tools is approved." + }, + { + "name": "assessment-objective", + "id": "MNT-04_MNT-04_A08", + "prose": "the use of system maintenance tools is controlled." + }, + { + "name": "assessment-objective", + "id": "MNT-04_MNT-04_A09", + "prose": "the use of system maintenance tools is monitored." + }, + { + "name": "assessment-objective", + "id": "MNT-04_MNT-04_A10", + "prose": "previously approved system maintenance tools are reviewed per an organization-defined frequency." + }, + { + "name": "assessment-objective", + "id": "MNT-04_MNT-04_A11", + "prose": "maintenance tools are inspected to ensure that the latest software updates and patches are installed." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_2.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_2.7" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-05-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ma-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ma-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ma-03-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ma-03-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:ma-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ma-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ma-03-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ma-03-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ma-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ma-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ma-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ma-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ma-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.7.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.07.04.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.7.2-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.7.2-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.7.2-c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.7.2-d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.07.04.a-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.07.04.a-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.07.04.a-03" + } + ] + }, + { + "id": "MNT-04.1", + "title": "Inspect Tools", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "MNT-04.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to inspect maintenance tools carried into a facility by maintenance personnel for improper or unauthorized modifications." + }, + { + "name": "assessment-objective", + "id": "MNT-04.1_MNT-04.1_A01", + "prose": "maintenance tools used by maintenance personnel are inspected for improper or unauthorized modifications." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ma-3-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ma-03-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:ma-03-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ma-03-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ma-03-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ma-03-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ma-3-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ma-3-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.07.04.b" + }, + { + "rel": "part-of", + "href": "#MNT-04" + } + ] + }, + { + "id": "MNT-04.2", + "title": "Inspect Media", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to check media containing diagnostic and test programs for malicious code before the media are used." + }, + { + "name": "assessment-objective", + "id": "MNT-04.2_MNT-04.2_A01", + "prose": "media with diagnostic and test programs are checked for malicious code before the media are used in the system." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ma-3-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ma-03-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:ma-03-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ma-03-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ma-03-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ma-03-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ma-3-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ma-3-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.7.4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.7.4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.07.04.b" + }, + { + "rel": "part-of", + "href": "#MNT-04" + } + ] + }, + { + "id": "MNT-04.3", + "title": "Prevent Unauthorized Removal", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "MNT-04.3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to prevent or control the removal of equipment undergoing maintenance that contains organizational information." + }, + { + "name": "assessment-objective", + "id": "MNT-04.3_MNT-04.3_A01", + "prose": "personnel or roles who can authorize removal of equipment from the facility is/are defined." + }, + { + "name": "assessment-objective", + "id": "MNT-04.3_MNT-04.3_A02", + "prose": "the removal of system maintenance equipment containing sensitive / regulated data is prevented by verifying that there is no sensitive / regulated data on the equipment, sanitizing or destroying the equipment, or retaining the equipment within the facility." + }, + { + "name": "assessment-objective", + "id": "MNT-04.3_MNT-04.3_A03", + "prose": "the removal of maintenance equipment containing organizational information is prevented by sanitizing or destroying the equipment." + }, + { + "name": "assessment-objective", + "id": "MNT-04.3_MNT-04.3_A04", + "prose": "the removal of maintenance equipment containing organizational information is prevented by retaining the equipment within the facility." + }, + { + "name": "assessment-objective", + "id": "MNT-04.3_MNT-04.3_A05", + "prose": "the removal of maintenance equipment containing organizational information is prevented by obtaining an exemption from personnel or roles explicitly authorizing removal of the equipment from the facility." + }, + { + "name": "assessment-objective", + "id": "MNT-04.3_MNT-04.3_A06", + "prose": "the removal of system maintenance equipment containing CUI is prevented by verifying that there is no CUI on the equipment, sanitizing or destroying the equipment, or retaining the equipment within the facility." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ma-3-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ma-03-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:ma-03-03" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.310-d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ma-03-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ma-03-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ma-03-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ma-3-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ma-3-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.07.04.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.07.04.c" + }, + { + "rel": "part-of", + "href": "#MNT-04" + } + ] + }, + { + "id": "MNT-04.4", + "title": "Restrict Tool Usage", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to restrict the use of maintenance tools to authorized maintenance personnel and/or roles." + }, + { + "name": "assessment-objective", + "id": "MNT-04.4_MNT-04.4_A01", + "prose": "the use of maintenance tools is restricted to authorized personnel only." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_2.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_2.7" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-05-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ma-3-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ma-03-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ma-03-04" + }, + { + "rel": "part-of", + "href": "#MNT-04" + } + ] + }, + { + "id": "MNT-05", + "title": "Remote Maintenance", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "MNT-05" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to authorize, monitor and control remote, non-local maintenance and diagnostic activities." + }, + { + "name": "assessment-objective", + "id": "MNT-05_MNT-05_A01", + "prose": "nonlocal maintenance and diagnostic activities are approved." + }, + { + "name": "assessment-objective", + "id": "MNT-05_MNT-05_A02", + "prose": "nonlocal maintenance and diagnostic activities are monitored." + }, + { + "name": "assessment-objective", + "id": "MNT-05_MNT-05_A03", + "prose": "the use of nonlocal maintenance and diagnostic tools are allowed only as consistent with organizational policy." + }, + { + "name": "assessment-objective", + "id": "MNT-05_MNT-05_A04", + "prose": "the use of nonlocal maintenance and diagnostic tools are documented in the security plan for the system." + }, + { + "name": "assessment-objective", + "id": "MNT-05_MNT-05_A05", + "prose": "strong authentication is employed in the establishment of nonlocal maintenance and diagnostic sessions." + }, + { + "name": "assessment-objective", + "id": "MNT-05_MNT-05_A06", + "prose": "records for nonlocal maintenance and diagnostic activities are maintained." + }, + { + "name": "assessment-objective", + "id": "MNT-05_MNT-05_A07", + "prose": "session connections are terminated when nonlocal maintenance is completed." + }, + { + "name": "assessment-objective", + "id": "MNT-05_MNT-05_A08", + "prose": "network connections are terminated when nonlocal maintenance is completed." + }, + { + "name": "assessment-objective", + "id": "MNT-05_MNT-05_A09", + "prose": "multifactor authentication is used to establish nonlocal maintenance sessions via external network connections." + }, + { + "name": "assessment-objective", + "id": "MNT-05_MNT-05_A10", + "prose": "nonlocal maintenance sessions established via external network connections are terminated when nonlocal maintenance is complete." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_4.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_4.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_4.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_4.6" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:pr.ma-p2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ma-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ma-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ma-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ma-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ma-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ma-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ma-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ma-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ma-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:ma-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:ma-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ma-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ma-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.7.5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.12.d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.07.05.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.07.05.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.07.05.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.7.5-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.7.5-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.07.05.a-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.07.05.a-02" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.2.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.2.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_8.2.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.2.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.2.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.2.7" + } + ] + }, + { + "id": "MNT-05.1", + "title": "Auditing Remote Maintenance", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "MNT-05.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to audit remote, non-local maintenance and diagnostic sessions, as well as review the maintenance action performed during remote maintenance sessions." + }, + { + "name": "assessment-objective", + "id": "MNT-05.1_MNT-05.1_A01", + "prose": "nonlocal maintenance and diagnostic activities are monitored." + }, + { + "name": "assessment-objective", + "id": "MNT-05.1_MNT-05.1_A02", + "prose": "audit events to be logged for nonlocal maintenance are defined." + }, + { + "name": "assessment-objective", + "id": "MNT-05.1_MNT-05.1_A03", + "prose": "audit events to be logged for diagnostic sessions are defined." + }, + { + "name": "assessment-objective", + "id": "MNT-05.1_MNT-05.1_A04", + "prose": "audit events are logged for nonlocal maintenance sessions." + }, + { + "name": "assessment-objective", + "id": "MNT-05.1_MNT-05.1_A05", + "prose": "audit events are logged for nonlocal diagnostic sessions." + }, + { + "name": "assessment-objective", + "id": "MNT-05.1_MNT-05.1_A06", + "prose": "the audit records of the maintenance sessions are reviewed to detect anomalous behavior." + }, + { + "name": "assessment-objective", + "id": "MNT-05.1_MNT-05.1_A07", + "prose": "the audit records of the diagnostic sessions are reviewed to detect anomalous behavior." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ma-4-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ma-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ma-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ma-04-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ma-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ma-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ma-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ma-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ma-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ma-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ma-04-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ma-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ma-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ma-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ma-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ma-04-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ma-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ma-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ma-04-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ma-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ma-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:ma-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:ma-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:ma-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:ma-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:ma-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ma-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ma-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ma-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ma-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.07.05.a" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.2.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.2.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_8.2.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.2.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.2.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.2.7" + }, + { + "rel": "part-of", + "href": "#MNT-05" + } + ] + }, + { + "id": "MNT-05.2", + "title": "Remote Maintenance Notifications", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "MNT-05.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to require maintenance personnel to notify affected stakeholders when remote, non-local maintenance is planned (e.g., date/time)." + }, + { + "name": "assessment-objective", + "id": "MNT-05.2_MNT-05.2_A01", + "prose": "personnel and roles to be notified of the date and time of planned nonlocal maintenance is/are defined." + }, + { + "name": "assessment-objective", + "id": "MNT-05.2_MNT-05.2_A02", + "prose": "personnel and roles are notified of the date and time of planned nonlocal maintenance." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ma-4-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ma-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ma-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ma-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ma-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ma-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ma-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ma-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ma-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ma-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ma-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ma-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ma-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ma-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ma-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ma-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ma-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:ma-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:ma-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:ma-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:ma-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:ma-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ma-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ma-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ma-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ma-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:nfo-ma-4-2" + }, + { + "rel": "part-of", + "href": "#MNT-05" + } + ] + }, + { + "id": "MNT-05.3", + "title": "Remote Maintenance Cryptographic Protection", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "MNT-05.3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Cryptographic mechanisms exist to protect the integrity and confidentiality of remote, non-local maintenance and diagnostic communications." + }, + { + "name": "assessment-objective", + "id": "MNT-05.3_MNT-05.3_A01", + "prose": "cryptographic mechanisms to be implemented to protect the integrity and confidentiality of nonlocal maintenance and diagnostic communications are defined." + }, + { + "name": "assessment-objective", + "id": "MNT-05.3_MNT-05.3_A02", + "prose": "cryptographic mechanisms are implemented to protect the integrity of nonlocal maintenance and diagnostic communications." + }, + { + "name": "assessment-objective", + "id": "MNT-05.3_MNT-05.3_A03", + "prose": "cryptographic mechanisms are implemented to protect the confidentiality of nonlocal maintenance and diagnostic communications." + }, + { + "name": "assessment-objective", + "id": "MNT-05.3_MNT-05.3_A04", + "prose": "replay resistance is implemented in the establishment of nonlocal maintenance and diagnostic sessions." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_12.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_12.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_12.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ma-4-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ma-04-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ma-04-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.07.05.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.07.05.b-02" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_2.2.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_2.2.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_2.2.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_2.2.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_2.2.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_2.2.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_2.2.7" + }, + { + "rel": "part-of", + "href": "#MNT-05" + } + ] + }, + { + "id": "MNT-05.4", + "title": "Remote Maintenance Disconnect Verification", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "MNT-05.4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to provide remote disconnect verification to ensure remote, non-local maintenance and diagnostic sessions are properly terminated." + }, + { + "name": "assessment-objective", + "id": "MNT-05.4_MNT-05.4_A01", + "prose": "session connections are terminated when nonlocal maintenance is completed." + }, + { + "name": "assessment-objective", + "id": "MNT-05.4_MNT-05.4_A02", + "prose": "session connection termination is verified after the completion of nonlocal maintenance and diagnostic sessions." + }, + { + "name": "assessment-objective", + "id": "MNT-05.4_MNT-05.4_A03", + "prose": "network connection termination is verified after the completion of nonlocal maintenance and diagnostic sessions." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ma-4-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ma-04-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ma-04-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.7.5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.07.05.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.07.05.c-01" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.2.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.2.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_8.2.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.2.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.2.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.2.7" + }, + { + "rel": "part-of", + "href": "#MNT-05" + } + ] + }, + { + "id": "MNT-05.5", + "title": "Remote Maintenance Pre-Approval", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "MNT-05.5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to require maintenance personnel to obtain pre-approval and scheduling for remote, non-local maintenance sessions." + }, + { + "name": "assessment-objective", + "id": "MNT-05.5_MNT-05.5_A01", + "prose": "personnel or roles required to approve each nonlocal maintenance session is/are defined." + }, + { + "name": "assessment-objective", + "id": "MNT-05.5_MNT-05.5_A02", + "prose": "the approval of each nonlocal maintenance session is required by personnel or roles." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ma-4-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ma-04-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ma-04-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.07.05.a" + }, + { + "rel": "part-of", + "href": "#MNT-05" + } + ] + }, + { + "id": "MNT-05.6", + "title": "Remote Maintenance Comparable Security & Sanitization", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to require Technology Assets, Applications and/or Services (TAAS) performing remote, non-local maintenance and/or diagnostic services implement a security capability comparable to the capability implemented on the system being serviced." + }, + { + "name": "assessment-objective", + "id": "MNT-05.6_MNT-05.6_A01", + "prose": "nonlocal maintenance / diagnostic services are required to be performed from a system that implements a security capability comparable to the capability implemented on the system being serviced." + }, + { + "name": "assessment-objective", + "id": "MNT-05.6_MNT-05.6_A02", + "prose": "alternate controls to be developed and implemented in the event that a system component cannot be sanitized, removed or disconnected from the system are defined." + }, + { + "name": "assessment-objective", + "id": "MNT-05.6_MNT-05.6_A03", + "prose": "the component to be serviced is removed from the system prior to nonlocal maintenance or diagnostic services." + }, + { + "name": "assessment-objective", + "id": "MNT-05.6_MNT-05.6_A04", + "prose": "the component to be serviced is sanitized (for organizational information)." + }, + { + "name": "assessment-objective", + "id": "MNT-05.6_MNT-05.6_A05", + "prose": "the component is inspected and sanitized (for potentially malicious software) after the service is performed and before reconnecting the component to the system." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ma-4-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ma-04-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:ma-04-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ma-04-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ma-04-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ma-4-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ma-4-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ma-4-3" + }, + { + "rel": "part-of", + "href": "#MNT-05" + } + ] + }, + { + "id": "MNT-05.7", + "title": "Separation of Maintenance Sessions", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to protect maintenance sessions through replay-resistant sessions that are physically or logically separated communications paths from other network sessions." + }, + { + "name": "assessment-objective", + "id": "MNT-05.7_MNT-05.7_A01", + "prose": "authenticators that are replay resistant are defined." + }, + { + "name": "assessment-objective", + "id": "MNT-05.7_MNT-05.7_A02", + "prose": "nonlocal maintenance sessions are protected by employing organization-defined authenticators that are replay resistant." + }, + { + "name": "assessment-objective", + "id": "MNT-05.7_MNT-05.7_A03", + "prose": "nonlocal maintenance sessions are protected by separating maintenance sessions from other network sessions with the system by physically separated communication paths." + }, + { + "name": "assessment-objective", + "id": "MNT-05.7_MNT-05.7_A04", + "prose": "nonlocal maintenance sessions are protected by logically separated communication paths." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ma-4-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ma-04-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ma-04-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:ma-04-04" + }, + { + "rel": "part-of", + "href": "#MNT-05" + } + ] + }, + { + "id": "MNT-06", + "title": "Authorized Maintenance Personnel", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "MNT-06" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to maintain a current list of authorized maintenance organizations or personnel." + }, + { + "name": "assessment-objective", + "id": "MNT-06_MNT-06_A01", + "prose": "a process for maintenance personnel authorization is established." + }, + { + "name": "assessment-objective", + "id": "MNT-06_MNT-06_A02", + "prose": "a list of authorized maintenance organizations or personnel is maintained." + }, + { + "name": "assessment-objective", + "id": "MNT-06_MNT-06_A03", + "prose": "non-escorted personnel who perform maintenance on the system possess the required access authorizations." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ma-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ma-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ma-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ma-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ma-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ma-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ma-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ma-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:ma-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ma-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ma-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.7.6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.07.06.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.07.06.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.07.06.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.07.06.d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.7.6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.07.06.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.07.06.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.07.06.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.07.06.d-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.07.06.d-02" + } + ] + }, + { + "id": "MNT-06.1", + "title": "Maintenance Personnel Without Appropriate Access", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "MNT-06.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure the risks associated with maintenance personnel who do not have appropriate access authorizations, clearances or formal access approvals are appropriately mitigated." + }, + { + "name": "assessment-objective", + "id": "MNT-06.1_MNT-06.1_A01", + "prose": "maintenance personnel without required access authorization are supervised during maintenance activities." + }, + { + "name": "assessment-objective", + "id": "MNT-06.1_MNT-06.1_A02", + "prose": "organizational personnel with required access authorizations are designated to supervise the maintenance activities of personnel who do not possess the required access authorizations." + }, + { + "name": "assessment-objective", + "id": "MNT-06.1_MNT-06.1_A03", + "prose": "procedures for the use of maintenance personnel who lack appropriate security clearances or are not U.S. citizens are implemented and include approved organizational personnel who are fully cleared, have appropriate access authorizations and are technically qualified escorting and supervising maintenance personnel without the needed access authorization during the performance of maintenance and diagnostic activities." + }, + { + "name": "assessment-objective", + "id": "MNT-06.1_MNT-06.1_A04", + "prose": "procedures for the use of maintenance personnel who lack appropriate security clearances or are not U.S. citizens are implemented and include all volatile information storage components within the system being sanitized and all non-volatile storage media being removed or physically disconnected from the system and secured prior to initiating maintenance or diagnostic activities." + }, + { + "name": "assessment-objective", + "id": "MNT-06.1_MNT-06.1_A05", + "prose": "alternate controls are developed and implemented in the event that a system cannot be sanitized, removed or disconnected from the system." + }, + { + "name": "assessment-objective", + "id": "MNT-06.1_MNT-06.1_A06", + "prose": "personnel performing maintenance and diagnostic activities on a system processing, storing or transmitting sensitive / regulated data possess security clearances for at least the highest classification level and for compartments of information on the system." + }, + { + "name": "assessment-objective", + "id": "MNT-06.1_MNT-06.1_A07", + "prose": "personnel performing maintenance and diagnostic activities on a system processing, storing or transmitting sensitive / regulated data possess formal access approvals for at least the highest classification level and for compartments of information on the system." + }, + { + "name": "assessment-objective", + "id": "MNT-06.1_MNT-06.1_A08", + "prose": "personnel performing maintenance and diagnostic activities on a system processing, storing or transmitting sensitive / regulated data are U.S. citizens." + }, + { + "name": "assessment-objective", + "id": "MNT-06.1_MNT-06.1_A09", + "prose": "foreign nationals are used to conduct maintenance and diagnostic activities on systems only when approved and authorized." + }, + { + "name": "assessment-objective", + "id": "MNT-06.1_MNT-06.1_A10", + "prose": "approvals regarding the use of foreign nationals to conduct maintenance and diagnostic activities on classified systems are fully documented within Memoranda of Agreements." + }, + { + "name": "assessment-objective", + "id": "MNT-06.1_MNT-06.1_A11", + "prose": "consents regarding the use of foreign nationals to conduct maintenance and diagnostic activities on classified systems are fully documented within Memoranda of Agreements." + }, + { + "name": "assessment-objective", + "id": "MNT-06.1_MNT-06.1_A12", + "prose": "detailed operational conditions regarding the use of foreign nationals to conduct maintenance and diagnostic activities on classified systems are fully documented within Memoranda of Agreements." + }, + { + "name": "assessment-objective", + "id": "MNT-06.1_MNT-06.1_A13", + "prose": "non-escorted personnel who perform maintenance on the system possess the required access authorizations." + }, + { + "name": "assessment-objective", + "id": "MNT-06.1_MNT-06.1_A14", + "prose": "organizational personnel with required technical competence are designated to supervise the maintenance activities of personnel who do not possess the required access authorizations." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ma-5-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ma-5-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ma-5-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ma-5-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ma-05-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ma-05-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ma-05-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ma-05-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:ma-05-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ma-05-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ma-05-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ma-05-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ma-05-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ma-05-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ma-5-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:ma-5-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ma-5-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ma-5-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.7.6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.07.06.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.07.06.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.07.06.d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.07.06.c" + }, + { + "rel": "part-of", + "href": "#MNT-06" + } + ] + }, + { + "id": "MNT-06.2", + "title": "Non-System Related Maintenance", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "MNT-06.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure that non-escorted personnel performing non-IT maintenance activities in the physical proximity of systems have required access authorizations." + }, + { + "name": "assessment-objective", + "id": "MNT-06.2_MNT-06.2_A01", + "prose": "non-escorted personnel performing maintenance activities not directly associated with the system but in the physical proximity of the system have required access authorizations." + }, + { + "name": "assessment-objective", + "id": "MNT-06.2_MNT-06.2_A02", + "prose": "non-escorted personnel who perform maintenance on the system possess the required access authorizations." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ma-5-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ma-05-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ma-05-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.7.6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.07.06.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.07.06.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.07.06.c" + }, + { + "rel": "part-of", + "href": "#MNT-06" + } + ] + }, + { + "id": "MNT-07", + "title": "Maintain Configuration Control During Maintenance", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "MNT-07" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to maintain proper physical security and configuration control over technology assets awaiting service or repair." + }, + { + "name": "assessment-objective", + "id": "MNT-07_MNT-07_A01", + "prose": "system components requiring configuration control are defined." + }, + { + "name": "assessment-objective", + "id": "MNT-07_MNT-07_A02", + "prose": "configuration control over organization-defined system components awaiting service or repair is maintained." + }, + { + "name": "assessment-objective", + "id": "MNT-07_MNT-07_A03", + "prose": "configuration control over serviced or repaired organization-defined system components awaiting return to service is maintained." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sr-11-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:sr-11-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sr-11-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:sr-11-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sr-11-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sr-11-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sr-11-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:sr-11-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sr-11-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sr-11-2" + } + ] + }, + { + "id": "MNT-08", + "title": "Field Maintenance", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to securely conduct field maintenance on geographically deployed assets." + }, + { + "name": "assessment-objective", + "id": "MNT-08_MNT-08_A01", + "prose": "systems or system components on which field maintenance is restricted or prohibited to trusted maintenance facilities are defined." + }, + { + "name": "assessment-objective", + "id": "MNT-08_MNT-08_A02", + "prose": "trusted maintenance facilities that are not restricted or prohibited from conducting field maintenance are defined." + }, + { + "name": "assessment-objective", + "id": "MNT-08_MNT-08_A03", + "prose": "field maintenance on systems or system components are restricted or prohibited to trusted maintenance facilities." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ma-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ma-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ma-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ma-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ma-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ma-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ma-7" + } + ] + }, + { + "id": "MNT-09", + "title": "Off-Site Maintenance", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "MNT-09" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure off-site maintenance activities are conducted securely and the asset(s) undergoing maintenance actions are secured during physical transfer and storage while off-site." + }, + { + "name": "assessment-objective", + "id": "MNT-09_MNT-09_A01", + "prose": "off-site maintenance activities are conducted securely and the asset(s) undergoing maintenance actions are secured during physical transfer and storage while off-site." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.07.04.a" + } + ] + }, + { + "id": "MNT-10", + "title": "Maintenance Validation", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to validate:\r\n(1) Maintenance activities were appropriately performed according to the work order; and \r\n(2) Applicable security, compliance and resilience controls are operational." + }, + { + "name": "assessment-objective", + "id": "MNT-10_MNT-10_A01", + "prose": "maintenance activities are validated to ensure they were appropriately performed according to the work order and that security controls are operational." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + } + ] + }, + { + "id": "MNT-11", + "title": "Maintenance Monitoring", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to maintain situational awareness of the quality and reliability of systems and components through tracking maintenance activities and component failure rates." + }, + { + "name": "assessment-objective", + "id": "MNT-11_MNT-11_A01", + "prose": "situational awareness is maintained of the quality and reliability of systems and components through tracking maintenance activities and component failure rates." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ma-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ma-8" + } + ] + } + ] + }, + { + "id": "mobile-device-management", + "title": "Mobile Device Management", + "controls": [ + { + "id": "MDM-01", + "title": "Centralized Management Of Mobile Devices", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "MDM-01" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.33", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.34", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.35", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.36", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.37", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.38", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.39", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to implement and govern Mobile Device Management (MDM) controls." + }, + { + "name": "assessment-objective", + "id": "MDM-01_MDM-01_A01", + "prose": "policies and standards facilitate the implementation of mobile device management controls." + }, + { + "name": "assessment-objective", + "id": "MDM-01_MDM-01_A02", + "prose": "usage restrictions are established for mobile devices." + }, + { + "name": "assessment-objective", + "id": "MDM-01_MDM-01_A03", + "prose": "Mobile Device Management (MDM) operations are conducted according to documented policies, standards, procedures and/or other organizational directives." + }, + { + "name": "assessment-objective", + "id": "MDM-01_MDM-01_A04", + "prose": "adequate resources (e.g., people, processes, technologies, data and/or facilities) are provided to support Mobile Device Management (MDM) operations." + }, + { + "name": "assessment-objective", + "id": "MDM-01_MDM-01_A05", + "prose": "responsibility and authority for the performance of Mobile Device Management (MDM)-related activities are assigned to designated personnel." + }, + { + "name": "assessment-objective", + "id": "MDM-01_MDM-01_A06", + "prose": "personnel performing Mobile Device Management (MDM)-related activities have the skills and knowledge needed to perform their assigned duties." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_4.11" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_4.11" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_4.11" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:uem-12" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:sap-05" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-2.3" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-2.3-b" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.1.18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.18.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.20.d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.18.a-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-1" + } + ] + }, + { + "id": "MDM-02", + "title": "Access Control For Mobile Devices", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "MDM-02" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to enforce access control requirements for the connection of mobile devices to organizational Technology Assets, Applications and/or Services (TAAS)." + }, + { + "name": "assessment-objective", + "id": "MDM-02_MDM-02_A01", + "prose": "configuration requirements are established for organization-controlled mobile devices, including when such devices are outside of the controlled area." + }, + { + "name": "assessment-objective", + "id": "MDM-02_MDM-02_A02", + "prose": "connection requirements are established for organization-controlled mobile devices, including when such devices are outside of the controlled area." + }, + { + "name": "assessment-objective", + "id": "MDM-02_MDM-02_A03", + "prose": "implementation guidance is established for organization-controlled mobile devices, including when such devices are outside of the controlled area." + }, + { + "name": "assessment-objective", + "id": "MDM-02_MDM-02_A04", + "prose": "the connection of mobile devices to the system is authorized." + }, + { + "name": "assessment-objective", + "id": "MDM-02_MDM-02_A05", + "prose": "mobile devices that process, store or transmit sensitive / regulated data are identified." + }, + { + "name": "assessment-objective", + "id": "MDM-02_MDM-02_A06", + "prose": "mobile device connections are monitored and logged." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_6.2.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ac-19" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-19" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ac-19" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-19" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ac-19" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ac-19" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ac-19" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ac-19" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:ac-19" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ac-19" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ac-19" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.1.18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.18.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.18.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.18-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.18-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.18-c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.18.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-1" + } + ] + }, + { + "id": "MDM-03", + "title": "Full Device & Container-Based Encryption", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "MDM-03" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Cryptographic mechanisms exist to protect the confidentiality and integrity of information on mobile devices through full-device or container encryption." + }, + { + "name": "assessment-objective", + "id": "MDM-03_MDM-03_A01", + "prose": "mobile devices on which to employ encryption are defined." + }, + { + "name": "assessment-objective", + "id": "MDM-03_MDM-03_A02", + "prose": "full-device or container-based encryption is implemented to protect the confidentiality of sensitive / regulated data on mobile devices." + }, + { + "name": "assessment-objective", + "id": "MDM-03_MDM-03_A03", + "prose": "mobile devices and mobile computing platforms that process, store or transmit sensitive / regulated data are identified." + }, + { + "name": "assessment-objective", + "id": "MDM-03_MDM-03_A04", + "prose": "encryption is employed to protect sensitive / regulated data on identified mobile devices and mobile computing platforms" + }, + { + "name": "assessment-objective", + "id": "MDM-03_MDM-03_A05", + "prose": "full-device or container-based encryption is implemented to protect the confidentiality of CUI on mobile devices." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:sap-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ac-19-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-19-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:ac-19-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-19-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ac-19-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ac-19-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.1.19" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.18.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.19-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.19-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.18.c" + } + ] + }, + { + "id": "MDM-04", + "title": "Mobile Device Tampering", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "MDM-04" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to protect mobile devices from tampering through inspecting devices returning from locations that the organization deems to be of significant risk, prior to the device being connected to the organization's network." + }, + { + "name": "assessment-objective", + "id": "MDM-04_MDM-04_A01", + "prose": "anti-tamper technologies to be employed are defined." + }, + { + "name": "assessment-objective", + "id": "MDM-04_MDM-04_A02", + "prose": "hardware components to be protected from physical tampering or alteration are defined." + }, + { + "name": "assessment-objective", + "id": "MDM-04_MDM-04_A03", + "prose": "anti-tamper technologies are employed to detect and/or prevent physical tampering or alteration of hardware components within the system." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:pe-3-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pe-03-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pe-03-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:pe-03-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pe-3-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:pe-3-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:pe-3-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.04.12.b" + } + ] + }, + { + "id": "MDM-05", + "title": "Remote Purging", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to remotely purge selected information from mobile devices." + }, + { + "name": "assessment-objective", + "id": "MDM-05_MDM-05_A01", + "prose": "mobile devices to be purged or wiped of information are defined." + }, + { + "name": "assessment-objective", + "id": "MDM-05_MDM-05_A02", + "prose": "purging or wiping requirements and techniques to be used when mobile devices are purged or wiped of information are defined." + }, + { + "name": "assessment-objective", + "id": "MDM-05_MDM-05_A03", + "prose": "information is purged or wiped from organization-defined mobile devices based on organization-defined purging or wiping requirements or techniques after organization-defined number consecutive, unsuccessful device logon attempts." + }, + { + "name": "assessment-objective", + "id": "MDM-05_MDM-05_A04", + "prose": "the number of consecutive, unsuccessful logon attempts before the information is purged or wiped from mobile devices is defined." + }, + { + "name": "assessment-objective", + "id": "MDM-05_MDM-05_A05", + "prose": "systems or system components to purge or wipe information either remotely or under specific conditions are defined." + }, + { + "name": "assessment-objective", + "id": "MDM-05_MDM-05_A06", + "prose": "conditions under which information is to be purged or wiped are defined." + }, + { + "name": "assessment-objective", + "id": "MDM-05_MDM-05_A07", + "prose": "the capability to purge or wipe information from systems or system components organization-defined criteria are provided." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_4.11" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_4.11" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_4.11" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:uem-13" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_6.2.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ac-7-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:mp-6-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-07-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:mp-06-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-07-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:mp-06-08" + } + ] + }, + { + "id": "MDM-06", + "title": "Personally-Owned Mobile Devices", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "MDM-06" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to restrict the connection of personally-owned, mobile devices to organizational Technology Assets, Applications and/or Services (TAAS)." + }, + { + "name": "assessment-objective", + "id": "MDM-06_MDM-06_A01", + "prose": "the connection of personally-owned, mobile devices to organizational systems and networks is restricted." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:sap-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.1.18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.18.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.18.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-1" + } + ] + }, + { + "id": "MDM-07", + "title": "Organization-Owned Mobile Devices", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "MDM-07" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to prohibit the installation of non-approved applications or approved applications not obtained through the organization-approved application store." + }, + { + "name": "assessment-objective", + "id": "MDM-07_MDM-07_A01", + "prose": "the installation of non-approved applications or approved applications not obtained through the organization-approved application store is prohibited." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:sap-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.1.18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.18.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.18.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.20.d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-1" + } + ] + }, + { + "id": "MDM-08", + "title": "Mobile Device Data Retention Limitations", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to limit data retention on mobile devices to the smallest usable dataset and timeframe." + }, + { + "name": "assessment-objective", + "id": "MDM-08_MDM-08_A01", + "prose": "data retention on mobile devices is limited to the smallest usable dataset and timeframe." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + } + ] + }, + { + "id": "MDM-09", + "title": "Mobile Device Geofencing", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to restrict the functionality of mobile devices based on geographic location." + }, + { + "name": "assessment-objective", + "id": "MDM-09_MDM-09_A01", + "prose": "the functionality of mobile devices is restricted based on geographic location." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:iam-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-4" + } + ] + }, + { + "id": "MDM-10", + "title": "Separate Mobile Device Profiles", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to enforce a separate device workspace on applicable mobile devices to separate work-related and personal-related applications and data." + }, + { + "name": "assessment-objective", + "id": "MDM-10_MDM-10_A01", + "prose": "a separate device workspace is enforced on applicable mobile devices to separate work-related and personal-related applications and data." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_4.12" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_4.12" + } + ] + }, + { + "id": "MDM-11", + "title": "Restricting Access To Authorized Technology Assets, Applications and/or Services (TAAS)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "MDM-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to restrict the connectivity of unauthorized mobile devices from communicating with organizational Technology Assets, Applications and/or Services (TAAS)." + }, + { + "name": "assessment-objective", + "id": "MDM-11_MDM-11_A01", + "prose": "the connectivity of unauthorized mobile devices is restricted from communicating with systems, applications and services." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-2.3-a" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-2.3-c" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-2.3-re-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.18.b" + } + ] + } + ] + }, + { + "id": "network-security", + "title": "Network Security", + "controls": [ + { + "id": "NET-01", + "title": "Network Security Controls (NSC)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "NET-01" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management", + "value": "3.5.3.3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.33", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.34", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.35", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.36", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.37", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.38", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.39", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to develop, govern & update procedures to facilitate the implementation of Network Security Controls (NSC)." + }, + { + "name": "assessment-objective", + "id": "NET-01_NET-01_A01", + "prose": "system and communications protection procedures to facilitate the implementation of the system and communications protection policy and associated system and communications protection controls are developed and documented." + }, + { + "name": "assessment-objective", + "id": "NET-01_NET-01_A02", + "prose": "personnel or roles to whom the system and communications protection policy is to be disseminated is/are defined." + }, + { + "name": "assessment-objective", + "id": "NET-01_NET-01_A03", + "prose": "personnel or roles to whom the system and communications protection procedures are to be disseminated is/are defined." + }, + { + "name": "assessment-objective", + "id": "NET-01_NET-01_A04", + "prose": "an official to manage the system and communications protection policy and procedures is defined." + }, + { + "name": "assessment-objective", + "id": "NET-01_NET-01_A05", + "prose": "the frequency at which the current system and communications protection policy is reviewed / updated is defined." + }, + { + "name": "assessment-objective", + "id": "NET-01_NET-01_A06", + "prose": "events that would require the current system and communications protection policy to be reviewed / updated are defined." + }, + { + "name": "assessment-objective", + "id": "NET-01_NET-01_A07", + "prose": "the frequency at which the current system and communications protection procedures are reviewed / updated is defined." + }, + { + "name": "assessment-objective", + "id": "NET-01_NET-01_A08", + "prose": "events that would require the system and communications protection procedures to be reviewed / updated are defined." + }, + { + "name": "assessment-objective", + "id": "NET-01_NET-01_A09", + "prose": "a system and communications protection policy is developed and documented." + }, + { + "name": "assessment-objective", + "id": "NET-01_NET-01_A10", + "prose": "the system and communications protection policy is disseminated to organization-defined personnel or roles." + }, + { + "name": "assessment-objective", + "id": "NET-01_NET-01_A11", + "prose": "the system and communications protection procedures are disseminated to organization-defined personnel or roles." + }, + { + "name": "assessment-objective", + "id": "NET-01_NET-01_A12", + "prose": "the organization's system and communications protection policy addresses purpose." + }, + { + "name": "assessment-objective", + "id": "NET-01_NET-01_A13", + "prose": "the organization's system and communications protection policy addresses scope." + }, + { + "name": "assessment-objective", + "id": "NET-01_NET-01_A14", + "prose": "the organization's system and communications protection policy addresses roles." + }, + { + "name": "assessment-objective", + "id": "NET-01_NET-01_A15", + "prose": "the organization's system and communications protection policy addresses responsibilities." + }, + { + "name": "assessment-objective", + "id": "NET-01_NET-01_A16", + "prose": "the organization's system and communications protection policy addresses management commitment." + }, + { + "name": "assessment-objective", + "id": "NET-01_NET-01_A17", + "prose": "the organization's system and communications protection policy addresses coordination among organizational entities." + }, + { + "name": "assessment-objective", + "id": "NET-01_NET-01_A18", + "prose": "the organization's system and communications protection policy addresses compliance." + }, + { + "name": "assessment-objective", + "id": "NET-01_NET-01_A19", + "prose": "the organization's system and communications protection policy is consistent with applicable laws, Executive Orders, directives, regulations, policies, standards, and guidelines." + }, + { + "name": "assessment-objective", + "id": "NET-01_NET-01_A20", + "prose": "the organization-defined official is designated to manage the development, documentation, and dissemination of the system and communications protection policy and procedures." + }, + { + "name": "assessment-objective", + "id": "NET-01_NET-01_A21", + "prose": "the current system and communications protection policy is reviewed / updated organization-defined frequency." + }, + { + "name": "assessment-objective", + "id": "NET-01_NET-01_A22", + "prose": "the current system and communications protection policy is reviewed / updated following organization-defined events." + }, + { + "name": "assessment-objective", + "id": "NET-01_NET-01_A23", + "prose": "the current system and communications protection procedures are reviewed / updated organization-defined frequency." + }, + { + "name": "assessment-objective", + "id": "NET-01_NET-01_A24", + "prose": "the current system and communications protection procedures are reviewed / updated following organization-defined events." + }, + { + "name": "assessment-objective", + "id": "NET-01_NET-01_A25", + "prose": "network security management operations are conducted according to documented policies, standards, procedures and/or other organizational directives." + }, + { + "name": "assessment-objective", + "id": "NET-01_NET-01_A26", + "prose": "adequate resources (e.g., people, processes, technologies, data and/or facilities) are provided to support network security management operations." + }, + { + "name": "assessment-objective", + "id": "NET-01_NET-01_A27", + "prose": "responsibility and authority for the performance of network security management-related activities are assigned to designated personnel." + }, + { + "name": "assessment-objective", + "id": "NET-01_NET-01_A28", + "prose": "personnel performing network security management-related activities have the skills and knowledge needed to perform their assigned duties." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_12.0" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_12.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_12.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_12.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_12.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_12.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_12.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_12.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_12.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_12.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_12.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_12.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_12.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_12.6" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss05.02" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:i-s-03" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:opa-06" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:opa-07" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:opa-08" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:snt-01" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:net-1.2" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-7.6" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.14" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.12" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.21" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_13.1.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_13.1.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_13.2.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.14" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.12" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.20" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.21" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:pr.pt-p3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sc-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:sc-01" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.312-e-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:sc-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sc-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sc-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sc-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:sc-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:sc-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sc-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sc-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.13.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:nfo-sc-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.12.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.16.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.16.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.18.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.13.01.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-2" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ir-01" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_11.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_11.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.2.1" + } + ] + }, + { + "id": "NET-01.1", + "title": "Zero Trust Architecture (ZTA)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to treat all users and devices as potential threats and prevent access to data and resources until the users can be properly authenticated and their access authorized." + }, + { + "name": "assessment-objective", + "id": "NET-01.1_NET-01.1_A01", + "prose": "all users are treated as potential threats and prevent access to data and resources until the user can be properly authenticated and their access authorized." + }, + { + "name": "assessment-objective", + "id": "NET-01.1_NET-01.1_A02", + "prose": "all devices are treated as potential threats and prevent access to data and resources until the device can be properly authenticated and its access authorized." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_13.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_13.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_13.5" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:snt-02" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:ndr-1.13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-6" + }, + { + "rel": "part-of", + "href": "#NET-01" + } + ] + }, + { + "id": "NET-02", + "title": "Layered Network Defenses", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "NET-02" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to implement security functions as a layered structure that minimizes interactions between layers of the design and avoids any dependence by lower layers on the functionality or correctness of higher layers." + }, + { + "name": "assessment-objective", + "id": "NET-02_NET-02_A01", + "prose": "security functions are implemented as a layered structure that minimizes interactions between layers of the design and avoiding any dependence by lower layers on the functionality or correctness of higher layers." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_12.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_12.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_12.2" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:snt-01" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:net-1.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_13.1.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.20" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:pr.ac-p5" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:pr.pt-p3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.13.01.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.13.4e" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ir-01" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.4.1" + } + ] + }, + { + "id": "NET-02.1", + "title": "Denial of Service (DoS) Protection", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "NET-02.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to protect against or limit the effects of denial of service attacks." + }, + { + "name": "assessment-objective", + "id": "NET-02.1_NET-02.1_A01", + "prose": "types of denial-of-service events to be protected against or limited are defined." + }, + { + "name": "assessment-objective", + "id": "NET-02.1_NET-02.1_A02", + "prose": "resource prioritization is designed to limit negative effects of denial-of-service events." + }, + { + "name": "assessment-objective", + "id": "NET-02.1_NET-02.1_A03", + "prose": "controls to achieve the denial-of-service objective by type of denial-of-service event are defined." + }, + { + "name": "assessment-objective", + "id": "NET-02.1_NET-02.1_A04", + "prose": "controls by type of denial-of-service event are employed to achieve the denial-of-service protection objective." + }, + { + "name": "assessment-objective", + "id": "NET-02.1_NET-02.1_A05", + "prose": "the ability of individuals to launch denial-of-service attacks against other systems is restricted." + }, + { + "name": "assessment-objective", + "id": "NET-02.1_NET-02.1_A06", + "prose": "the effects of types of denial-of-service events are organizationally-defined." + }, + { + "name": "assessment-objective", + "id": "NET-02.1_NET-02.1_A07", + "prose": "capacity, bandwidth or other redundancies to limit the effects of information flooding denial-of-service attacks are managed." + }, + { + "name": "assessment-objective", + "id": "NET-02.1_NET-02.1_A08", + "prose": "monitoring tools for detecting indicators of denial-of-service attacks are defined." + }, + { + "name": "assessment-objective", + "id": "NET-02.1_NET-02.1_A09", + "prose": "system resources to be monitored to determine if sufficient resources exist to prevent effective denial-of-service attacks are defined." + }, + { + "name": "assessment-objective", + "id": "NET-02.1_NET-02.1_A10", + "prose": "monitoring tools are employed to detect indicators of denial-of-service attacks against or launched from the system." + }, + { + "name": "assessment-objective", + "id": "NET-02.1_NET-02.1_A11", + "prose": "system resources are monitored to determine if sufficient resources exist to prevent effective denial-of-service attacks." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:opa-08" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:opa-09" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-7.1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-7.1-re-1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-7.1-re-2" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-7.1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-7.1-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sc-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:sc-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:sc-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sc-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sc-05" + }, + { + "rel": "part-of", + "href": "#NET-02" + } + ] + }, + { + "id": "NET-02.2", + "title": "Guest Networks", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "NET-02.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to implement and manage a secure guest network." + }, + { + "name": "assessment-objective", + "id": "NET-02.2_NET-02.2_A01", + "prose": "a secure guest network is defined." + }, + { + "name": "assessment-objective", + "id": "NET-02.2_NET-02.2_A02", + "prose": "a secure guest network is implemented" + }, + { + "name": "assessment-objective", + "id": "NET-02.2_NET-02.2_A03", + "prose": "each type of wireless access to the system is defined." + }, + { + "name": "assessment-objective", + "id": "NET-02.2_NET-02.2_A04", + "prose": "usage restrictions are established for each type of wireless access to the system." + }, + { + "name": "assessment-objective", + "id": "NET-02.2_NET-02.2_A05", + "prose": "connection requirements are established for each type of wireless access to the system." + }, + { + "name": "assessment-objective", + "id": "NET-02.2_NET-02.2_A06", + "prose": "each type of wireless access to the system is authorized prior to establishing such connections." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.13.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.16.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.16.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.13.1-e" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.13.1-g" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.16.a-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.16.a-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.16.a-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.16.b" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_1.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_1.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_1.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_11.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_11.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_1.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_11.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_11.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.2.2" + }, + { + "rel": "part-of", + "href": "#NET-02" + } + ] + }, + { + "id": "NET-02.3", + "title": "Cross Domain Solution (CDS)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "NET-02.3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to implement a Cross Domain Solution (CDS) to mitigate the specific security risks of accessing or transferring information between security domains." + }, + { + "name": "assessment-objective", + "id": "NET-02.3_NET-02.3_A01", + "prose": "a Cross Domain Solution (CDS) is implemented to mitigate the specific security risks of accessing or transferring information between security domains." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-46" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-46" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sc-46" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.1.3e" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-4" + }, + { + "rel": "part-of", + "href": "#NET-02" + } + ] + }, + { + "id": "NET-03", + "title": "Boundary Protection", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "NET-03" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to monitor and control communications at the external network boundary and at key internal boundaries within the network." + }, + { + "name": "assessment-objective", + "id": "NET-03_NET-03_A01", + "prose": "the external system boundary is defined." + }, + { + "name": "assessment-objective", + "id": "NET-03_NET-03_A02", + "prose": "key internal system boundaries are defined." + }, + { + "name": "assessment-objective", + "id": "NET-03_NET-03_A03", + "prose": "communications are protected at the external system boundary." + }, + { + "name": "assessment-objective", + "id": "NET-03_NET-03_A04", + "prose": "communications are protected at key internal boundaries." + }, + { + "name": "assessment-objective", + "id": "NET-03_NET-03_A05", + "prose": "communications are monitored at the external system boundary." + }, + { + "name": "assessment-objective", + "id": "NET-03_NET-03_A06", + "prose": "communications are controlled at the external system boundary." + }, + { + "name": "assessment-objective", + "id": "NET-03_NET-03_A07", + "prose": "communications are monitored at key internal boundaries." + }, + { + "name": "assessment-objective", + "id": "NET-03_NET-03_A08", + "prose": "communications are controlled at key internal boundaries." + }, + { + "name": "assessment-objective", + "id": "NET-03_NET-03_A09", + "prose": "subnetworks for publicly accessible system components are selected per organization-defined values separated from internal organizational networks." + }, + { + "name": "assessment-objective", + "id": "NET-03_NET-03_A10", + "prose": "external networks or systems are only connected to through managed interfaces consisting of boundary protection devices arranged in accordance with an organizational cybersecurity / data privacy architecture." + }, + { + "name": "assessment-objective", + "id": "NET-03_NET-03_A11", + "prose": "outgoing communications traffic posing a threat to external systems is detected." + }, + { + "name": "assessment-objective", + "id": "NET-03_NET-03_A12", + "prose": "outgoing communications traffic posing a threat to external systems is denied." + }, + { + "name": "assessment-objective", + "id": "NET-03_NET-03_A13", + "prose": "the identity of internal users associated with denied communications is audited." + }, + { + "name": "assessment-objective", + "id": "NET-03_NET-03_A14", + "prose": "authorized sources of incoming communications to be routed are defined." + }, + { + "name": "assessment-objective", + "id": "NET-03_NET-03_A15", + "prose": "authorized destinations to which incoming communications from authorized sources may be routed are defined." + }, + { + "name": "assessment-objective", + "id": "NET-03_NET-03_A16", + "prose": "only incoming communications from authorized sources are allowed to be routed to authorized destinations." + }, + { + "name": "assessment-objective", + "id": "NET-03_NET-03_A17", + "prose": "one or more of the following is/are selected: physical isolation techniques. logical isolation techniques." + }, + { + "name": "assessment-objective", + "id": "NET-03_NET-03_A18", + "prose": "physical isolation techniques are defined." + }, + { + "name": "assessment-objective", + "id": "NET-03_NET-03_A19", + "prose": "logical isolation techniques are defined." + }, + { + "name": "assessment-objective", + "id": "NET-03_NET-03_A20", + "prose": "physical isolation techniques and/or organization-defined logical isolation techniques are employed in organizational systems and system components." + }, + { + "name": "assessment-objective", + "id": "NET-03_NET-03_A21", + "prose": "connection requirements are established for mobile devices." + }, + { + "name": "assessment-objective", + "id": "NET-03_NET-03_A22", + "prose": "external system connections are only made through managed interfaces that consist of boundary protection devices arranged in accordance with an organizational security architecture." + }, + { + "name": "assessment-objective", + "id": "NET-03_NET-03_A23", + "prose": "communications at external managed interfaces to the system are controlled." + }, + { + "name": "assessment-objective", + "id": "NET-03_NET-03_A24", + "prose": "communications at key internal managed interfaces within the system are controlled." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_9.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_13.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_9.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_13.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_9.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_13.5" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:iot-10" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:net-1.3" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-5.2" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-5.2" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:ndr-5.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.21" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_13.1.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_13.1.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.20" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.21" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-7-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-7-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-07-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-07-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sc-07-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sc-07-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:sc-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-07-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-07-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:sc-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sc-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sc-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sc-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sc-07-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sc-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:sc-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:sc-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sc-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.13.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.12.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.13.01.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.13.01.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.13.01.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.13.1-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.13.1-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.13.1-c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.13.1-d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.13.1-e" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.13.1-f" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.13.1-g" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.13.1-h" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.18.a-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.13.01.a-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.13.01.a-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.13.01.c" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_11.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_1.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_1.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_1.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_11.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.5.1" + } + ] + }, + { + "id": "NET-03.1", + "title": "Limit Network Connections", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to limit the number of concurrent external network connections to its Technology Assets, Applications and/or Services (TAAS)." + }, + { + "name": "assessment-objective", + "id": "NET-03.1_NET-03.1_A01", + "prose": "the number of external network connections to the system is limited." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:sws-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-7-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-07-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-04-25" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:si-04-25" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:sc-07-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-07-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-04-25" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sc-07-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sc-07-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:si-04-25" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:nfo-sc-7-3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_11.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_11.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.2.1" + }, + { + "rel": "part-of", + "href": "#NET-03" + } + ] + }, + { + "id": "NET-03.2", + "title": "External Telecommunications Services", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to maintain a managed interface for each external telecommunication service that protects the confidentiality and integrity of the information being transmitted across each interface." + }, + { + "name": "assessment-objective", + "id": "NET-03.2_NET-03.2_A01", + "prose": "the frequency at which to review exceptions to traffic flow policy is defined." + }, + { + "name": "assessment-objective", + "id": "NET-03.2_NET-03.2_A02", + "prose": "a managed interface is implemented for each external telecommunication service." + }, + { + "name": "assessment-objective", + "id": "NET-03.2_NET-03.2_A03", + "prose": "a traffic flow policy is established for each managed interface." + }, + { + "name": "assessment-objective", + "id": "NET-03.2_NET-03.2_A04", + "prose": "the confidentiality of the information being transmitted across each interface is protected." + }, + { + "name": "assessment-objective", + "id": "NET-03.2_NET-03.2_A05", + "prose": "the integrity of the information being transmitted across each interface is protected." + }, + { + "name": "assessment-objective", + "id": "NET-03.2_NET-03.2_A06", + "prose": "each exception to the traffic flow policy is documented with a supporting mission or business need and duration of that need." + }, + { + "name": "assessment-objective", + "id": "NET-03.2_NET-03.2_A07", + "prose": "exceptions to the traffic flow policy are reviewed frequently." + }, + { + "name": "assessment-objective", + "id": "NET-03.2_NET-03.2_A08", + "prose": "exceptions to the traffic flow policy that are no longer supported by an explicit mission or business need are removed." + }, + { + "name": "assessment-objective", + "id": "NET-03.2_NET-03.2_A09", + "prose": "unauthorized exchanges of control plan traffic with external networks are prevented." + }, + { + "name": "assessment-objective", + "id": "NET-03.2_NET-03.2_A10", + "prose": "information is published to enable remote networks to detect unauthorized control plane traffic from internal networks." + }, + { + "name": "assessment-objective", + "id": "NET-03.2_NET-03.2_A11", + "prose": "unauthorized control plane traffic is filtered from external networks." + }, + { + "name": "assessment-objective", + "id": "NET-03.2_NET-03.2_A12", + "prose": "outgoing communications traffic posing a threat to external systems is detected." + }, + { + "name": "assessment-objective", + "id": "NET-03.2_NET-03.2_A13", + "prose": "outgoing communications traffic posing a threat to external systems is denied." + }, + { + "name": "assessment-objective", + "id": "NET-03.2_NET-03.2_A14", + "prose": "the identity of internal users associated with denied communications is audited." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-7-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-7-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-07-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-07-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sc-07-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:sc-07-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-07-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-07-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sc-07-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sc-07-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:nfo-sc-7-4" + }, + { + "rel": "part-of", + "href": "#NET-03" + } + ] + }, + { + "id": "NET-03.3", + "title": "Prevent Discovery of Internal Information", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to prevent the public disclosure of internal network information." + }, + { + "name": "assessment-objective", + "id": "NET-03.3_NET-03.3_A01", + "prose": "the discovery of specific system components that represent a managed interface is prevented." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.12" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-7-16" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-07-16" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-07-16" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sc-07-16" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.4.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.4.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.4.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.4.5" + }, + { + "rel": "part-of", + "href": "#NET-03" + } + ] + }, + { + "id": "NET-03.4", + "title": "Personal Data (PD)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to apply network-based processing rules to data elements of Personal Data (PD)." + }, + { + "name": "assessment-objective", + "id": "NET-03.4_NET-03.4_A01", + "prose": "processing rules for systems that process Personal Data (PD) are defined." + }, + { + "name": "assessment-objective", + "id": "NET-03.4_NET-03.4_A02", + "prose": "processing rules are applied to data elements of Personal Data (PD) on systems that process Personal Data (PD)." + }, + { + "name": "assessment-objective", + "id": "NET-03.4_NET-03.4_A03", + "prose": "permitted processing is monitored at the external interfaces to the systems that process Personal Data (PD)." + }, + { + "name": "assessment-objective", + "id": "NET-03.4_NET-03.4_A04", + "prose": "permitted processing is monitored at key internal boundaries within the systems that process Personal Data (PD)." + }, + { + "name": "assessment-objective", + "id": "NET-03.4_NET-03.4_A05", + "prose": "each processing exception is documented for systems that process Personal Data (PD)." + }, + { + "name": "assessment-objective", + "id": "NET-03.4_NET-03.4_A06", + "prose": "exceptions for systems that process Personal Data (PD) are reviewed." + }, + { + "name": "assessment-objective", + "id": "NET-03.4_NET-03.4_A07", + "prose": "exceptions for systems that process Personal Data (PD) that are no longer supported are removed." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-07-24" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sc-07-24" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-07-24" + }, + { + "rel": "part-of", + "href": "#NET-03" + } + ] + }, + { + "id": "NET-03.5", + "title": "Prevent Unauthorized Exfiltration", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to prevent the unauthorized exfiltration of sensitive/regulated data across managed interfaces." + }, + { + "name": "assessment-objective", + "id": "NET-03.5_NET-03.5_A01", + "prose": "the exfiltration of information is prevented." + }, + { + "name": "assessment-objective", + "id": "NET-03.5_NET-03.5_A02", + "prose": "the frequency for conducting exfiltration tests is defined." + }, + { + "name": "assessment-objective", + "id": "NET-03.5_NET-03.5_A03", + "prose": "exfiltration tests are conducted per an organization-defined frequency." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.12" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-7-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-07-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sc-07-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-07-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sc-07-10" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_1.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_1.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_1.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.3.2" + }, + { + "rel": "part-of", + "href": "#NET-03" + } + ] + }, + { + "id": "NET-03.6", + "title": "Dynamic Isolation & Segregation (Sandboxing)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to dynamically isolate (e.g., sandbox) untrusted components during runtime, where the component is isolated in a fault-contained environment but it can still collaborate with the application." + }, + { + "name": "assessment-objective", + "id": "NET-03.6_NET-03.6_A01", + "prose": "system components to be dynamically isolated from other system components are defined." + }, + { + "name": "assessment-objective", + "id": "NET-03.6_NET-03.6_A02", + "prose": "the capability to dynamically isolate organization-defined system components from other system components is provided." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-7-20" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-07-20" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-07-20" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sc-07-20" + }, + { + "rel": "part-of", + "href": "#NET-03" + } + ] + }, + { + "id": "NET-03.7", + "title": "Isolation of System Components", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "NET-03.7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to employ boundary protections to isolate Technology Assets, Applications and/or Services (TAAS) that support critical missions and/or business functions." + }, + { + "name": "assessment-objective", + "id": "NET-03.7_NET-03.7_A01", + "prose": "system components to be isolated by boundary protection mechanisms are defined." + }, + { + "name": "assessment-objective", + "id": "NET-03.7_NET-03.7_A02", + "prose": "boundary protection mechanisms are employed to isolate system components supporting missions and/or business functions." + }, + { + "name": "assessment-objective", + "id": "NET-03.7_NET-03.7_A03", + "prose": "missions and/or business functions to be supported by system components isolated by boundary protection mechanisms are defined." + }, + { + "name": "assessment-objective", + "id": "NET-03.7_NET-03.7_A04", + "prose": "physical isolation techniques are defined." + }, + { + "name": "assessment-objective", + "id": "NET-03.7_NET-03.7_A05", + "prose": "logical isolation techniques are defined." + }, + { + "name": "assessment-objective", + "id": "NET-03.7_NET-03.7_A06", + "prose": "physical isolation techniques and/or organization-defined logical isolation techniques are employed in organizational systems and system components." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:net-1.3" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:net-1.7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-7-21" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-07-21" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:sc-07-21" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-07-21" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sc-07-21" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sc-07-21" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.13.4e" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_1.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_1.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_1.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.3.3" + }, + { + "rel": "part-of", + "href": "#NET-03" + } + ] + }, + { + "id": "NET-03.8", + "title": "Separate Subnet for Connecting to Different Security Domains", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "NET-03.8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to implement separate network addresses (e.g., different subnets) to connect to systems in different security domains." + }, + { + "name": "assessment-objective", + "id": "NET-03.8_NET-03.8_A01", + "prose": "separate network addresses are implemented to connect to systems in different security domains." + }, + { + "name": "assessment-objective", + "id": "NET-03.8_NET-03.8_A02", + "prose": "critical system components and functions are logically isolated." + }, + { + "name": "assessment-objective", + "id": "NET-03.8_NET-03.8_A03", + "prose": "critical system components and functions to be isolated are defined." + }, + { + "name": "assessment-objective", + "id": "NET-03.8_NET-03.8_A04", + "prose": "subnetworks are separated organization-defined criteria to isolate critical system components and functions." + }, + { + "name": "assessment-objective", + "id": "NET-03.8_NET-03.8_A05", + "prose": "physical isolation techniques are defined." + }, + { + "name": "assessment-objective", + "id": "NET-03.8_NET-03.8_A06", + "prose": "logical isolation techniques are defined." + }, + { + "name": "assessment-objective", + "id": "NET-03.8_NET-03.8_A07", + "prose": "physical isolation techniques and/or organization-defined logical isolation techniques are employed in organizational systems and system components." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:net-1.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-7-22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-07-22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-07-29" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sc-07-29" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-07-22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-07-29" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sc-07-22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sc-07-29" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.13.01.b" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.4.1" + }, + { + "rel": "part-of", + "href": "#NET-03" + } + ] + }, + { + "id": "NET-04", + "title": "Data Flow Enforcement – Access Control Lists (ACLs)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "NET-04" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to implement and govern Access Control Lists (ACLs) to provide data flow enforcement that explicitly restrict network traffic to only what is authorized." + }, + { + "name": "assessment-objective", + "id": "NET-04_NET-04_A01", + "prose": "information flow control policies are defined." + }, + { + "name": "assessment-objective", + "id": "NET-04_NET-04_A02", + "prose": "methods and enforcement mechanisms for controlling the flow of sensitive / regulated data are defined." + }, + { + "name": "assessment-objective", + "id": "NET-04_NET-04_A03", + "prose": "approved authorizations are enforced for controlling the flow of information within the system and between connected systems based on organization-defined information flow control policies." + }, + { + "name": "assessment-objective", + "id": "NET-04_NET-04_A04", + "prose": "designated sources and destinations (e.g., networks, individuals and devices) for sensitive / regulated data within the system and between interconnected systems are identified." + }, + { + "name": "assessment-objective", + "id": "NET-04_NET-04_A05", + "prose": "authorizations for controlling the flow of sensitive / regulated data are defined." + }, + { + "name": "assessment-objective", + "id": "NET-04_NET-04_A06", + "prose": "approved authorizations are enforced for controlling the flow of CUI between connected systems." + }, + { + "name": "assessment-objective", + "id": "NET-04_NET-04_A07", + "prose": "secure information transfer solutions are defined." + }, + { + "name": "assessment-objective", + "id": "NET-04_NET-04_A08", + "prose": "information flows between security domains on connected systems are identified." + }, + { + "name": "assessment-objective", + "id": "NET-04_NET-04_A09", + "prose": "solutions are employed to control information flows between security domains on connected systems." + }, + { + "name": "assessment-objective", + "id": "NET-04_NET-04_A10", + "prose": "systems and system components included in the scope of the specified enhanced security requirements are identified." + }, + { + "name": "assessment-objective", + "id": "NET-04_NET-04_A11", + "prose": "systems and system components are included in the scope of the specified enhanced security requirements." + }, + { + "name": "assessment-objective", + "id": "NET-04_NET-04_A12", + "prose": "systems and system components that are not included in systems and system components are segregated in purpose-specific networks." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_3.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_4.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_12.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_13.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_3.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_4.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_3.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_4.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_12.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_13.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_3.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_4.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_12.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_13.4" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:cls-12" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:sws-05" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:net-1.6" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:net-1.8" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-1.13-re-1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-5.3" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:ndr-1.13-1" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.14" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_9.4.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_13.1.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_13.2.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.14" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.20" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ac-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:ac-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ac-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ac-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ac-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:ac-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ac-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ac-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.1.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.13.01.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.13.01.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.3-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.3-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.3-c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.3-d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.3-e" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.03-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.1.3e" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_1.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_1.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_1.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_1.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_1.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_1.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_1.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.4.3" + } + ] + }, + { + "id": "NET-04.1", + "title": "Deny Traffic by Default & Allow Traffic by Exception", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "NET-04.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to configure firewall and router configurations to deny network traffic by default and allow network traffic by exception (e.g., deny all, permit by exception)." + }, + { + "name": "assessment-objective", + "id": "NET-04.1_NET-04.1_A01", + "prose": "network communications traffic is denied by default." + }, + { + "name": "assessment-objective", + "id": "NET-04.1_NET-04.1_A02", + "prose": "network communications traffic is allowed by exception." + }, + { + "name": "assessment-objective", + "id": "NET-04.1_NET-04.1_A03", + "prose": "systems for which network communications traffic is denied by default and network communications traffic is allowed by exception are defined." + }, + { + "name": "assessment-objective", + "id": "NET-04.1_NET-04.1_A04", + "prose": "authorized sources of incoming communications to be routed are defined." + }, + { + "name": "assessment-objective", + "id": "NET-04.1_NET-04.1_A05", + "prose": "authorized destinations to which incoming communications from authorized sources may be routed are defined." + }, + { + "name": "assessment-objective", + "id": "NET-04.1_NET-04.1_A06", + "prose": "only incoming communications from authorized sources are allowed to be routed to authorized destinations." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_13.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_13.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_13.4" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:sws-05" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:net-1.7" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-5.2-re-1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-5.3-re-1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-5.3" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:ndr-1.13-1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:ndr-5.2-1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:ndr-5.2-2" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:ndr-5.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.14" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_13.1.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_13.2.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.14" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.20" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ca-3-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-7-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-7-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-07-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-07-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sc-07-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:sc-07-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-07-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-07-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sc-07-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sc-07-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sc-07-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.13.6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:nfo-ca-3-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.13.01.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.13.06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.13.6-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.13.6-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.13.06-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.13.06-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_1.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_1.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_1.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_1.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_1.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_1.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_1.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_1.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_1.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.4.2" + }, + { + "rel": "part-of", + "href": "#NET-04" + } + ] + }, + { + "id": "NET-04.2", + "title": "Object Security Attributes", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to associate security attributes with information, source and destination objects to enforce defined information flow control configurations as a basis for flow control decisions." + }, + { + "name": "assessment-objective", + "id": "NET-04.2_NET-04.2_A01", + "prose": "cybersecurity / data privacy attributes associated with information, source and destination objects are defined." + }, + { + "name": "assessment-objective", + "id": "NET-04.2_NET-04.2_A02", + "prose": "information objects to be associated with cybersecurity / data privacy attributes are defined." + }, + { + "name": "assessment-objective", + "id": "NET-04.2_NET-04.2_A03", + "prose": "source objects to be associated with cybersecurity / data privacy attributes are defined." + }, + { + "name": "assessment-objective", + "id": "NET-04.2_NET-04.2_A04", + "prose": "destination objects to be associated with cybersecurity / data privacy attributes are defined." + }, + { + "name": "assessment-objective", + "id": "NET-04.2_NET-04.2_A05", + "prose": "information flow control policies as a basis for enforcement of flow control decisions are defined." + }, + { + "name": "assessment-objective", + "id": "NET-04.2_NET-04.2_A06", + "prose": "organization-defined cybersecurity / data privacy attributes associated with organization-defined information objects, organization-defined source objects and organization-defined destination objects are used to enforce organization-defined information flow control policies as a basis for flow control decisions." + }, + { + "name": "assessment-objective", + "id": "NET-04.2_NET-04.2_A07", + "prose": "secure information transfer solutions are defined." + }, + { + "name": "assessment-objective", + "id": "NET-04.2_NET-04.2_A08", + "prose": "information flows between security domains on connected systems are identified." + }, + { + "name": "assessment-objective", + "id": "NET-04.2_NET-04.2_A09", + "prose": "solutions are employed to control information flows between security domains on connected systems." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ac-4-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-04-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-04-01" + }, + { + "rel": "part-of", + "href": "#NET-04" + } + ] + }, + { + "id": "NET-04.3", + "title": "Content Check for Encrypted Data", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to prevent encrypted data from bypassing content-checking mechanisms." + }, + { + "name": "assessment-objective", + "id": "NET-04.3_NET-04.3_A01", + "prose": "information flow control mechanisms that encrypted information is prevented from bypassing are defined." + }, + { + "name": "assessment-objective", + "id": "NET-04.3_NET-04.3_A02", + "prose": "the organization-defined procedure or method used to prevent encrypted information from bypassing information flow control mechanisms is defined." + }, + { + "name": "assessment-objective", + "id": "NET-04.3_NET-04.3_A03", + "prose": "encrypted information is prevented from bypassing the organization's information flow control mechanisms." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ac-4-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-04-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:ac-04-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-04-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ac-04-04" + }, + { + "rel": "part-of", + "href": "#NET-04" + } + ] + }, + { + "id": "NET-04.4", + "title": "Embedded Data Types", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to enforce limitations on embedding data within other data types." + }, + { + "name": "assessment-objective", + "id": "NET-04.4_NET-04.4_A01", + "prose": "limitations on embedding data types within other data types are defined." + }, + { + "name": "assessment-objective", + "id": "NET-04.4_NET-04.4_A02", + "prose": "organization-defined limitations are enforced on embedding data types within other data types." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ac-4-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-04-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-04-05" + }, + { + "rel": "part-of", + "href": "#NET-04" + } + ] + }, + { + "id": "NET-04.5", + "title": "Metadata", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to enforce information flow controls based on metadata." + }, + { + "name": "assessment-objective", + "id": "NET-04.5_NET-04.5_A01", + "prose": "metadata on which to base enforcement of information flow control is defined." + }, + { + "name": "assessment-objective", + "id": "NET-04.5_NET-04.5_A02", + "prose": "information flow control enforcement is based on organization-defined metadata." + }, + { + "name": "assessment-objective", + "id": "NET-04.5_NET-04.5_A03", + "prose": "secure information transfer solutions are defined." + }, + { + "name": "assessment-objective", + "id": "NET-04.5_NET-04.5_A04", + "prose": "information flows between security domains on connected systems are identified." + }, + { + "name": "assessment-objective", + "id": "NET-04.5_NET-04.5_A05", + "prose": "solutions are employed to control information flows between security domains on connected systems." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:dat-01" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:gvn-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ac-4-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-04-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-04-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ac-4-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ac-4-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ac-4-6" + }, + { + "rel": "part-of", + "href": "#NET-04" + } + ] + }, + { + "id": "NET-04.6", + "title": "Human Reviews", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to enforce the use of human reviews for Access Control Lists (ACLs) and similar rulesets on a routine basis." + }, + { + "name": "assessment-objective", + "id": "NET-04.6_NET-04.6_A01", + "prose": "information flows requiring the use of human reviews are defined." + }, + { + "name": "assessment-objective", + "id": "NET-04.6_NET-04.6_A02", + "prose": "conditions under which the use of human reviews for information flows are to be enforced are defined." + }, + { + "name": "assessment-objective", + "id": "NET-04.6_NET-04.6_A03", + "prose": "human reviews are used for organization-defined conditions." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ac-4-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-04-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-04-09" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.2.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.2.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.2.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.2.7" + }, + { + "rel": "part-of", + "href": "#NET-04" + } + ] + }, + { + "id": "NET-04.7", + "title": "Policy Decision Point (PDP)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to evaluate access requests against established criteria to dynamically and uniformly enforce access rights and permissions." + }, + { + "name": "assessment-objective", + "id": "NET-04.7_NET-04.7_A01", + "prose": "information flows between security domains on connected systems are identified." + }, + { + "name": "assessment-objective", + "id": "NET-04.7_NET-04.7_A02", + "prose": "solutions are employed to control information flows between security domains on connected systems." + }, + { + "name": "assessment-objective", + "id": "NET-04.7_NET-04.7_A03", + "prose": "cybersecurity / data privacy policy filters to be used as a basis for enforcing information flow control are defined." + }, + { + "name": "assessment-objective", + "id": "NET-04.7_NET-04.7_A04", + "prose": "information flows for which information flow control is enforced by cybersecurity / data privacy filters are defined." + }, + { + "name": "assessment-objective", + "id": "NET-04.7_NET-04.7_A05", + "prose": "information flow control is enforced using organization-defined cybersecurity / data privacy policy filter as a basis for flow control decisions for organization-defined information flows." + }, + { + "name": "assessment-objective", + "id": "NET-04.7_NET-04.7_A06", + "prose": "cybersecurity / data privacy policy identifying actions to be taken after a filter processing failure are defined (e.g., block, strip, modify or quarantine)" + }, + { + "name": "assessment-objective", + "id": "NET-04.7_NET-04.7_A07", + "prose": "policy identifying actions to be taken after a filter processing failure are defined." + }, + { + "name": "assessment-objective", + "id": "NET-04.7_NET-04.7_A08", + "prose": "organization's data after a filter processing failure in accordance with organization's data after a filter processing failure in accordance with organization-defined privacy policy." + }, + { + "name": "assessment-objective", + "id": "NET-04.7_NET-04.7_A09", + "prose": "when transferring information between different security domains, data is sanitized to minimize organization's in accordance with organization-defined policy." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ac-4-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-04-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-04-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:ac-04-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_1.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_1.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_1.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.3.3" + }, + { + "rel": "part-of", + "href": "#NET-04" + } + ] + }, + { + "id": "NET-04.8", + "title": "Data Type Identifiers", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to utilize data type identifiers to validate data essential for information flow decisions when transferring information between different security domains." + }, + { + "name": "assessment-objective", + "id": "NET-04.8_NET-04.8_A01", + "prose": "data type identifiers to be used to validate data essential for information flow decisions are defined." + }, + { + "name": "assessment-objective", + "id": "NET-04.8_NET-04.8_A02", + "prose": "when transferring information between different security domains, organization-defined data type identifiers are used to validate data essential for information flow decisions." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ac-4-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-04-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-04-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:ac-04-12" + }, + { + "rel": "part-of", + "href": "#NET-04" + } + ] + }, + { + "id": "NET-04.9", + "title": "Decomposition Into Policy-Related Subcomponents", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to decompose information into policy-relevant subcomponents for submission to policy enforcement mechanisms, when transferring information between different security domains." + }, + { + "name": "assessment-objective", + "id": "NET-04.9_NET-04.9_A01", + "prose": "policy-relevant subcomponents into which to decompose information for submission to policy enforcement mechanisms are defined." + }, + { + "name": "assessment-objective", + "id": "NET-04.9_NET-04.9_A02", + "prose": "when transferring information between different security domains, information is decomposed into organization-defined policy-relevant subcomponents for submission to policy enforcement mechanisms." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ac-4-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-04-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-04-13" + }, + { + "rel": "part-of", + "href": "#NET-04" + } + ] + }, + { + "id": "NET-04.10", + "title": "Detection of Unsanctioned Information", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to implement security policy filters requiring fully enumerated formats that restrict data structure and content, when transferring information between different security domains." + }, + { + "name": "assessment-objective", + "id": "NET-04.10_NET-04.10_A01", + "prose": "unsanctioned information to be detected is defined." + }, + { + "name": "assessment-objective", + "id": "NET-04.10_NET-04.10_A02", + "prose": "cybersecurity / data privacy policy that requires the transfer of unsanctioned information between different security domains to be prohibited is defined." + }, + { + "name": "assessment-objective", + "id": "NET-04.10_NET-04.10_A03", + "prose": "when transferring information between different security domains, information is examined for the presence of organization-defined unsanctioned information." + }, + { + "name": "assessment-objective", + "id": "NET-04.10_NET-04.10_A04", + "prose": "when transferring information between different security domains, transfer of organization-defined unsanctioned information is prohibited in accordance with the organization-defined cybersecurity / data privacy policy." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ac-4-15" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-04-15" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-04-15" + }, + { + "rel": "part-of", + "href": "#NET-04" + } + ] + }, + { + "id": "NET-04.11", + "title": "Approved Solutions", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to examine information for the presence of unsanctioned information and prohibits the transfer of such information, when transferring information between different security domains." + }, + { + "name": "assessment-objective", + "id": "NET-04.11_NET-04.11_A01", + "prose": "solutions in approved configurations to control the flow of information across security domains are defined." + }, + { + "name": "assessment-objective", + "id": "NET-04.11_NET-04.11_A02", + "prose": "information to be controlled when it flows across security domains is defined." + }, + { + "name": "assessment-objective", + "id": "NET-04.11_NET-04.11_A03", + "prose": "organization-defined solutions in approved configurations are employed to control the flow of organization-defined information across security domains." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ac-4-20" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-04-20" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-04-20" + }, + { + "rel": "part-of", + "href": "#NET-04" + } + ] + }, + { + "id": "NET-04.12", + "title": "Cross Domain Authentication", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to uniquely identify and authenticate source and destination points for information transfer." + }, + { + "name": "assessment-objective", + "id": "NET-04.12_NET-04.12_A01", + "prose": "source and destination points are uniquely identified and authenticated by organization-defined criteria for information transfer (e.g., organization, system, application, service or individual)." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-04-17" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-04-17" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:ac-04-17" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ac-4-17" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ac-4-17" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ac-4-17" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-4" + }, + { + "rel": "part-of", + "href": "#NET-04" + } + ] + }, + { + "id": "NET-04.13", + "title": "Metadata Validation", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to apply cybersecurity and/or data protection filters on metadata." + }, + { + "name": "assessment-objective", + "id": "NET-04.13_NET-04.13_A01", + "prose": "cybersecurity / data privacy policy filters to be implemented on metadata are defined (if selected)." + }, + { + "name": "assessment-objective", + "id": "NET-04.13_NET-04.13_A02", + "prose": "when transferring information between different security domains, organization-defined cybersecurity / data privacy policy filters are implemented on metadata." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-04-19" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-04-19" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ac-4-19" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ac-4-19" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ac-4-19" + }, + { + "rel": "part-of", + "href": "#NET-04" + } + ] + }, + { + "id": "NET-04.14", + "title": "Application Proxy", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to terminate, inspect, control and reinitiate application traffic, regardless of the user’s location or the security posture of the surrounding network." + }, + { + "name": "assessment-objective", + "id": "NET-04.14_NET-04.14_A01", + "prose": "visibility and control over application traffic is maintained, regardless of the user’s location or the security posture of the surrounding network." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#NET-04" + } + ] + }, + { + "id": "NET-05", + "title": "Interconnection Security Agreements (ISAs)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "NET-05" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to authorize connections from systems to other systems using Interconnection Security Agreements (ISAs), or similar methods, that document, for each interconnection:\r\n(1) Interface characteristics;\r\n(2) Security, compliance and resilience requirements; and;\r\n(3) The nature of the information communicated." + }, + { + "name": "assessment-objective", + "id": "NET-05_NET-05_A01", + "prose": "the type of agreement used to approve and manage the exchange of information is defined (e.g., interconnection security agreements, information exchange security agreements, memoranda of understanding or agreement, service level agreements, user agreements, non-disclosure agreements or organization-defined type of agreements)." + }, + { + "name": "assessment-objective", + "id": "NET-05_NET-05_A02", + "prose": "security requirements for each system are documented as part of the exchange agreements." + }, + { + "name": "assessment-objective", + "id": "NET-05_NET-05_A03", + "prose": "controls are documented as part of each exchange agreement." + }, + { + "name": "assessment-objective", + "id": "NET-05_NET-05_A04", + "prose": "the frequency at which to review and update agreements is defined." + }, + { + "name": "assessment-objective", + "id": "NET-05_NET-05_A05", + "prose": "the exchange of sensitive / regulated data between the system and other systems is approved using organization-defined values." + }, + { + "name": "assessment-objective", + "id": "NET-05_NET-05_A06", + "prose": "the exchange of sensitive / regulated data between the system and other systems is managed using organization-defined values." + }, + { + "name": "assessment-objective", + "id": "NET-05_NET-05_A07", + "prose": "interface characteristics for each system are documented as part of the exchange agreements." + }, + { + "name": "assessment-objective", + "id": "NET-05_NET-05_A08", + "prose": "responsibilities for each system are documented as part of the exchange agreements." + }, + { + "name": "assessment-objective", + "id": "NET-05_NET-05_A09", + "prose": "the impact level of the information communicated is documented as part of each exchange agreement." + }, + { + "name": "assessment-objective", + "id": "NET-05_NET-05_A10", + "prose": "exchange agreements are reviewed per an organization-defined frequency." + }, + { + "name": "assessment-objective", + "id": "NET-05_NET-05_A11", + "prose": "exchange agreements are updated per an organization-defined frequency." + }, + { + "name": "assessment-objective", + "id": "NET-05_NET-05_A12", + "prose": "systems are prohibited from directly connecting to an external network is defined." + }, + { + "name": "assessment-objective", + "id": "NET-05_NET-05_A13", + "prose": "the boundary protection device required for a direct connection to an external network is defined." + }, + { + "name": "assessment-objective", + "id": "NET-05_NET-05_A14", + "prose": "the direct connection of systems to an external network without the use of boundary protection device is prohibited." + }, + { + "name": "assessment-objective", + "id": "NET-05_NET-05_A15", + "prose": "the direct connection of classified national security system to an external network without the use of an organization-defined boundary protection device is prohibited." + }, + { + "name": "assessment-objective", + "id": "NET-05_NET-05_A16", + "prose": "approved authorizations are enforced for controlling the flow of CUI between connected systems." + }, + { + "name": "assessment-objective", + "id": "NET-05_NET-05_A17", + "prose": "one or more of the following PARAMETER VALUES are selected: {interconnection security agreements; information exchange security agreements; memoranda of understanding or agreement; service-level agreements; user agreements; non-disclosure agreements; other types of agreements}." + }, + { + "name": "assessment-objective", + "id": "NET-05_NET-05_A18", + "prose": "the exchange of CUI between the system and other systems is approved using ." + }, + { + "name": "assessment-objective", + "id": "NET-05_NET-05_A19", + "prose": "the exchange of CUI between the system and other systems is managed using ." + }, + { + "name": "assessment-objective", + "id": "NET-05_NET-05_A20", + "prose": "exchange agreements are reviewed ." + }, + { + "name": "assessment-objective", + "id": "NET-05_NET-05_A21", + "prose": "exchange agreements are updated ." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:net-1.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ca-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ca-3-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ca-3-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ca-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-07-25" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-07-26" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ca-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ca-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-07-25" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-07-26" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ca-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ca-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ca-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ca-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:ca-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:ca-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ca-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:nfo-ca-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.20.c.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.12.05.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.12.05.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.03-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.12.05.odp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.12.05.odp-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.12.05.a-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.12.05.a-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.12.05.b-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.12.05.b-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.12.05.b-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.12.05.c-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.12.05.c-02" + } + ] + }, + { + "id": "NET-05.1", + "title": "External System Connections", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to prohibit the direct connection of a sensitive system to an external network without the use of an organization-defined boundary protection device." + }, + { + "name": "assessment-objective", + "id": "NET-05.1_NET-05.1_A01", + "prose": "systems are prohibited from directly connecting to an external network is defined." + }, + { + "name": "assessment-objective", + "id": "NET-05.1_NET-05.1_A02", + "prose": "the boundary protection device required for a direct connection of a system to an external network is defined." + }, + { + "name": "assessment-objective", + "id": "NET-05.1_NET-05.1_A03", + "prose": "the direct connection of a system to an external network without the use of a boundary protection device is prohibited." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mp-2.2-002" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ca-3-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-07-27" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-07-27" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.4.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.4.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.4.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.4.4" + }, + { + "rel": "part-of", + "href": "#NET-05" + } + ] + }, + { + "id": "NET-05.2", + "title": "Internal System Connections", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "NET-05.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to control internal system connections through authorizing internal connections of systems and documenting, for each internal connection, the interface characteristics, security requirements and the nature of the information communicated." + }, + { + "name": "assessment-objective", + "id": "NET-05.2_NET-05.2_A01", + "prose": "internal connections of organization-defined system components to the system are authorized." + }, + { + "name": "assessment-objective", + "id": "NET-05.2_NET-05.2_A02", + "prose": "for each internal connection, the interface characteristics are documented." + }, + { + "name": "assessment-objective", + "id": "NET-05.2_NET-05.2_A03", + "prose": "for each internal connection, the security requirements are documented." + }, + { + "name": "assessment-objective", + "id": "NET-05.2_NET-05.2_A04", + "prose": "for each internal connection, the privacy requirements are documented." + }, + { + "name": "assessment-objective", + "id": "NET-05.2_NET-05.2_A05", + "prose": "for each internal connection, the nature of the information communicated is documented." + }, + { + "name": "assessment-objective", + "id": "NET-05.2_NET-05.2_A06", + "prose": "internal system connections are terminated after organization-defined conditions." + }, + { + "name": "assessment-objective", + "id": "NET-05.2_NET-05.2_A07", + "prose": "the continued need for each internal connection is reviewed organization-defined frequency." + }, + { + "name": "assessment-objective", + "id": "NET-05.2_NET-05.2_A08", + "prose": "system components or classes of components requiring internal connections to the system are defined." + }, + { + "name": "assessment-objective", + "id": "NET-05.2_NET-05.2_A09", + "prose": "conditions requiring termination of internal connections are defined." + }, + { + "name": "assessment-objective", + "id": "NET-05.2_NET-05.2_A10", + "prose": "frequency at which to review the continued need for each internal connection is defined." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:net-1.6" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:net-2.1-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ca-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ca-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ca-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ca-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ca-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ca-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ca-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:nfo-ca-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.12.05.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.12.05.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.12.05.c" + }, + { + "rel": "part-of", + "href": "#NET-05" + } + ] + }, + { + "id": "NET-06", + "title": "Network Segmentation (macrosegementation)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "NET-06" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management", + "value": "3.5.3.3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure network architecture utilizes network segmentation to isolate Technology Assets, Applications and/or Services (TAAS) to protect from other network resources." + }, + { + "name": "assessment-objective", + "id": "NET-06_NET-06_A01", + "prose": "logical isolation techniques are defined." + }, + { + "name": "assessment-objective", + "id": "NET-06_NET-06_A02", + "prose": "mechanisms and/or techniques used to logically separate information flows are defined." + }, + { + "name": "assessment-objective", + "id": "NET-06_NET-06_A03", + "prose": "information flows are separated logically using organization-defined mechanisms and/or techniques to accomplish organization-defined required separations." + }, + { + "name": "assessment-objective", + "id": "NET-06_NET-06_A04", + "prose": "publicly accessible system components are identified." + }, + { + "name": "assessment-objective", + "id": "NET-06_NET-06_A05", + "prose": "subnetworks for publicly accessible system components are physically or logically separated from internal networks." + }, + { + "name": "assessment-objective", + "id": "NET-06_NET-06_A06", + "prose": "physical isolation techniques and/or organization-defined logical isolation techniques are employed in organizational systems and system components." + }, + { + "name": "assessment-objective", + "id": "NET-06_NET-06_A07", + "prose": "mechanisms and/or techniques used to physically separate information flows are defined." + }, + { + "name": "assessment-objective", + "id": "NET-06_NET-06_A08", + "prose": "required separations by types of information are defined." + }, + { + "name": "assessment-objective", + "id": "NET-06_NET-06_A09", + "prose": "information flows are separated physically using organization-defined mechanisms and/or techniques to accomplish organization-defined required separations." + }, + { + "name": "assessment-objective", + "id": "NET-06_NET-06_A10", + "prose": "subnetworks are implemented for publicly accessible system components that are physically or logically separated from internal networks." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:i-s-06" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:sap-01" + }, + { + "rel": "mapped-to", + "href": "#iec-tr-60601-4-5-2021:_5.2-cr-5.1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:net-1.1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:net-1.3" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:net-2.2" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-5.1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-5.1-re-1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-5.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.22" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_13.1.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_13.1.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.20" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.22" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:pr.ac-p5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ac-4-21" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-04-21" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-04-21" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:ac-04-21" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ac-4-21" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ac-4-21" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.13.5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.13.01.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.13.5-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.13.5-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.13.01.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.14.3e" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.2.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.2.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.2.8" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.4.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.4.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.5.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:a1.1.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:a3.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:a3.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.2.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.2.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.2.8" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_11.4.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_1.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_1.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_1.2.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_1.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_1.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_1.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_11.4.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_1.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_1.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_1.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_11.4.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_1.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_1.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_1.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.2.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.2.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.2.8" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_11.4.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.5.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.2.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.2.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.2.8" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.4.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.4.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.5.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:a1.1.4" + } + ] + }, + { + "id": "NET-06.1", + "title": "Security Management Subnets", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to implement security management subnets to isolate security tools and support components from other internal system components by implementing separate subnetworks with managed interfaces to other components of the system." + }, + { + "name": "assessment-objective", + "id": "NET-06.1_NET-06.1_A01", + "prose": "cybersecurity tools, mechanisms and support components to be isolated from other internal system components are defined." + }, + { + "name": "assessment-objective", + "id": "NET-06.1_NET-06.1_A02", + "prose": "cybersecurity tools, mechanisms and support components are isolated from other internal system components by implementing physically separate subnetworks with managed interfaces to other components of the system." + }, + { + "name": "assessment-objective", + "id": "NET-06.1_NET-06.1_A03", + "prose": "security management subnets are logically isolated." + }, + { + "name": "assessment-objective", + "id": "NET-06.1_NET-06.1_A04", + "prose": "security management subnet system components and functions to be isolated are defined." + }, + { + "name": "assessment-objective", + "id": "NET-06.1_NET-06.1_A05", + "prose": "organization-defined criteria are used to isolate security management subnets." + }, + { + "name": "assessment-objective", + "id": "NET-06.1_NET-06.1_A06", + "prose": "physical isolation techniques are defined." + }, + { + "name": "assessment-objective", + "id": "NET-06.1_NET-06.1_A07", + "prose": "logical isolation techniques are defined." + }, + { + "name": "assessment-objective", + "id": "NET-06.1_NET-06.1_A08", + "prose": "physical isolation techniques and/or organization-defined logical isolation techniques are employed in organizational systems and system components." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:sap-01" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-5.1-re-2" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.22" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_13.1.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-7-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-07-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-07-29" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sc-07-29" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-07-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-07-29" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sc-07-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sc-07-29" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sc-7-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:sc-7-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sc-7-13" + }, + { + "rel": "part-of", + "href": "#NET-06" + } + ] + }, + { + "id": "NET-06.2", + "title": "Virtual Local Area Network (VLAN) Separation", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to enable Virtual Local Area Networks (VLANs) to limit the ability of devices on a network to directly communicate with other devices on the subnet and limit an attacker's ability to laterally move to compromise neighboring systems." + }, + { + "name": "assessment-objective", + "id": "NET-06.2_NET-06.2_A01", + "prose": "enable Virtual Local Area Networks (VLANs) to limit the ability of devices on a network to directly communicate with other devices on the subnet and limit an attacker's ability to laterally move to compromise neighboring systems." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#NET-06" + } + ] + }, + { + "id": "NET-06.3", + "title": "Sensitive / Regulated Data Enclave (Secure Zone)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "NET-06.3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to implement segmentation controls to restrict inbound and outbound connectivity for sensitive/regulated data enclaves (secure zones)." + }, + { + "name": "assessment-objective", + "id": "NET-06.3_NET-06.3_A01", + "prose": "segmentation controls restrict inbound and outbound connectivity for sensitive / regulated data enclaves (secure zones)." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:net-1.5" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-5.1-re-3" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-5.2-re-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.13.01.b" + }, + { + "rel": "part-of", + "href": "#NET-06" + } + ] + }, + { + "id": "NET-06.4", + "title": "Segregation From Enterprise Services", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "NET-06.4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to isolate sensitive/regulated data enclaves (secure zones) from corporate-provided IT resources by providing enclave-specific IT services (e.g., directory services, DNS, NTP, ITAM, antimalware, patch management, etc.) to those isolated network segments." + }, + { + "name": "assessment-objective", + "id": "NET-06.4_NET-06.4_A01", + "prose": "sensitive / regulated data enclaves (secure zones) are isolated from corporate-provided IT resources by providing enclave-specific IT services (e.g., directory services, DNS, NTP, ITAM, antimalware, patch management, etc.) to those isolated network segments." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:ccm-06" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:sap-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.14.3e" + }, + { + "rel": "part-of", + "href": "#NET-06" + } + ] + }, + { + "id": "NET-06.5", + "title": "Direct Internet Access Restrictions", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to prohibit, or strictly-control, Internet access from sensitive/regulated data enclaves (secure zones)." + }, + { + "name": "assessment-objective", + "id": "NET-06.5_NET-06.5_A01", + "prose": "Internet access from sensitive / regulated data enclaves (secure zones) is prohibited or strictly-controlled." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-07-28" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-07-28" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:sc-07-28" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sc-07-28" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sc-07-28" + }, + { + "rel": "part-of", + "href": "#NET-06" + } + ] + }, + { + "id": "NET-06.6", + "title": "Microsegmentation", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "NET-06.6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to enable microsegmentation, either physically or virtually, to divide the network according to application and data workflows communications needs." + }, + { + "name": "assessment-objective", + "id": "NET-06.6_NET-06.6_A01", + "prose": "microsegmentation is implemented to divide the network according to application and data workflows communications needs." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#NET-06" + } + ] + }, + { + "id": "NET-06.7", + "title": "Software Defined Networking (SDN)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to enable dynamic, policy-driven network segmentation, access controls and traffic management with a Software Defined Networking (SDN) architecture." + }, + { + "name": "assessment-objective", + "id": "NET-06.7_NET-06.7_A01", + "prose": "automated mechanisms implement dynamic, policy-driven network segmentation." + }, + { + "name": "assessment-objective", + "id": "NET-06.7_NET-06.7_A02", + "prose": "automated mechanisms implement dynamic, policy-driven access controls." + }, + { + "name": "assessment-objective", + "id": "NET-06.7_NET-06.7_A03", + "prose": "automated mechanisms implement dynamic, policy-driven network traffic management." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#NET-06" + } + ] + }, + { + "id": "NET-07", + "title": "Network Connection Termination", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "NET-07" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to terminate network connections at the end of a session or after an organization-defined time period of inactivity." + }, + { + "name": "assessment-objective", + "id": "NET-07_NET-07_A01", + "prose": "a period of inactivity to terminate network connections associated with communications sessions is defined." + }, + { + "name": "assessment-objective", + "id": "NET-07_NET-07_A02", + "prose": "network connections associated with communications sessions are terminated at the end of the sessions." + }, + { + "name": "assessment-objective", + "id": "NET-07_NET-07_A03", + "prose": "network connections associated with communications sessions are terminated after the defined period of inactivity." + }, + { + "name": "assessment-objective", + "id": "NET-07_NET-07_A04", + "prose": "network connections are terminated when nonlocal maintenance is completed." + }, + { + "name": "assessment-objective", + "id": "NET-07_NET-07_A05", + "prose": "the time period of inactivity after which the system terminates a network connection associated with a communications session is defined." + }, + { + "name": "assessment-objective", + "id": "NET-07_NET-07_A06", + "prose": "the network connection associated with a communications session is terminated at the end of the session or after an organization-defined time period of inactivity." + }, + { + "name": "assessment-objective", + "id": "NET-07_NET-07_A07", + "prose": "the network connection associated with a communications session is terminated at the end of the session or after of inactivity." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:net-3.3" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-2.6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:sc-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sc-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.13.9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.13.09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.13.9-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.13.9-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.13.9-c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.07.05.c-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.13.09.odp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.13.09" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.2.8" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.2.8" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.2.8" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.2.8" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.2.8" + } + ] + }, + { + "id": "NET-08", + "title": "Network Intrusion Detection / Prevention Systems (NIDS / NIPS)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "NET-08" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to employ Network Intrusion Detection / Prevention Systems (NIDS/NIPS) to detect and/or prevent intrusions into the network." + }, + { + "name": "assessment-objective", + "id": "NET-08_NET-08_A01", + "prose": "Network Intrusion Detection / Prevention Systems (NIDS/NIPS) is utilized to detect and/or prevent intrusions into the network." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_9.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_13.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_13.8" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_9.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_13.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_9.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_13.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_13.8" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.21" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_13.1.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.21" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.14.6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.13.01.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.14.06.c" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.5.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_11.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_1.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_11.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.5.1.1" + } + ] + }, + { + "id": "NET-08.1", + "title": "DMZ Networks", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "NET-08.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to monitor De-Militarized Zone (DMZ) network segments to separate untrusted networks from trusted networks." + }, + { + "name": "assessment-objective", + "id": "NET-08.1_NET-08.1_A01", + "prose": "De-Militarized Zone (DMZ) network segments exist to separate untrusted networks from trusted networks." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-1.13" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_13.1.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.20" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.13.01.b" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.2.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.2.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.2.8" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.4.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.4.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.5.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:a1.1.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:a3.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:a3.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.2.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.2.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.2.8" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_11.4.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_1.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_1.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_1.2.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_1.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_1.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_1.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_11.4.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_1.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_1.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_1.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_11.4.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_1.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_1.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_1.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.2.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.2.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.2.8" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_11.4.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.5.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.2.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.2.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.2.8" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.4.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.4.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.5.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:a1.1.4" + }, + { + "rel": "part-of", + "href": "#NET-08" + } + ] + }, + { + "id": "NET-08.2", + "title": "Wireless Intrusion Detection / Prevention Systems (WIDS / WIPS) Deployment", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to utilize Wireless Intrusion Detection / Protection Systems (WIDS / WIPS) on wireless network segments." + }, + { + "name": "assessment-objective", + "id": "NET-08.2_NET-08.2_A01", + "prose": "wireless network segments implement Wireless Intrusion Detection / Prevention Systems (WIDS/WIPS) technologies." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:mon-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:si-4-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:si-4-15" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-04-15" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-04-15" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_1.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.4.3" + }, + { + "rel": "part-of", + "href": "#NET-08" + } + ] + }, + { + "id": "NET-08.3", + "title": "Host Containment", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "NET-08.3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to enforce host containment protections that revoke or quarantine a host’s access to the network." + }, + { + "name": "assessment-objective", + "id": "NET-08.3_NET-08.3_A01", + "prose": "host containment protections exist that revoke or quarantine a host’s access to the network." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_1.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_1.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_1.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_1.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-5" + }, + { + "rel": "part-of", + "href": "#NET-08" + } + ] + }, + { + "id": "NET-08.4", + "title": "Resource Containment", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "NET-08.4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to enforce resource containment protections that remove or quarantine a resource’s access to other resources." + }, + { + "name": "assessment-objective", + "id": "NET-08.4_NET-08.4_A01", + "prose": "resource containment protections exist that remove or quarantine a resource’s access to other resources." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-5" + }, + { + "rel": "part-of", + "href": "#NET-08" + } + ] + }, + { + "id": "NET-09", + "title": "Session Integrity", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "NET-09" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to protect the authenticity and integrity of communications sessions." + }, + { + "name": "assessment-objective", + "id": "NET-09_NET-09_A01", + "prose": "the authenticity of communications sessions is protected." + }, + { + "name": "assessment-objective", + "id": "NET-09_NET-09_A02", + "prose": "the confidentiality and/or integrity of information is/are maintained during preparation for transmission." + }, + { + "name": "assessment-objective", + "id": "NET-09_NET-09_A03", + "prose": "the confidentiality and/or integrity of information is/are maintained during reception." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:user-1.16" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-3.8" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-3.8" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-3.8-a" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-3.8-b" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-3.8-c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:sc-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sc-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sc-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.13.15" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.13.15" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.13.15" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.13.15" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.4.1" + } + ] + }, + { + "id": "NET-09.1", + "title": "Invalidate Session Identifiers at Logout", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to invalidate session identifiers upon user logout or other session termination." + }, + { + "name": "assessment-objective", + "id": "NET-09.1_NET-09.1_A01", + "prose": "session identifiers are invalidated upon user logout or other session termination." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-3.8-re-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-23-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-23-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-23-01" + }, + { + "rel": "part-of", + "href": "#NET-09" + } + ] + }, + { + "id": "NET-09.2", + "title": "Unique System-Generated Session Identifiers", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to generate and recognize unique session identifiers for each session." + }, + { + "name": "assessment-objective", + "id": "NET-09.2_NET-09.2_A01", + "prose": "randomness requirements for generating a unique session identifier for each session are defined." + }, + { + "name": "assessment-objective", + "id": "NET-09.2_NET-09.2_A02", + "prose": "a unique session identifier is generated for each session with organization-defined randomness requirements." + }, + { + "name": "assessment-objective", + "id": "NET-09.2_NET-09.2_A03", + "prose": "only system-generated session identifiers are recognized." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-3.8-re-2" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-3.8-re-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-23-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-23-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-23-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sc-23-03" + }, + { + "rel": "part-of", + "href": "#NET-09" + } + ] + }, + { + "id": "NET-10", + "title": "Domain Name Service (DNS) Resolution", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure Domain Name Service (DNS) resolution is designed, implemented and managed to protect the security of name / address resolution." + }, + { + "name": "assessment-objective", + "id": "NET-10_NET-10_A01", + "prose": "additional data origin authentication is provided along with the authoritative name resolution data that the system returns in response to external name/address resolution queries." + }, + { + "name": "assessment-objective", + "id": "NET-10_NET-10_A02", + "prose": "integrity verification artifacts are provided along with the authoritative name resolution data that the system returns in response to external name/address resolution queries." + }, + { + "name": "assessment-objective", + "id": "NET-10_NET-10_A03", + "prose": "the means to indicate the security status of child zones (and if the child supports secure resolution services) is provided when operating as part of a distributed, hierarchical namespace." + }, + { + "name": "assessment-objective", + "id": "NET-10_NET-10_A04", + "prose": "the means to enable verification of a chain of trust among parent and child domains when operating as part of a distributed, hierarchical namespace is provided." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_4.9" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_4.9" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_4.9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-20" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-20-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-20" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-20-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:sc-20" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-20" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-20-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:sc-20" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sc-20" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sc-20" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:nfo-sc-20" + } + ] + }, + { + "id": "NET-10.1", + "title": "Architecture & Provisioning for Name / Address Resolution Service", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure systems that collectively provide Domain Name Service (DNS) resolution service are fault-tolerant and implement internal/external role separation." + }, + { + "name": "assessment-objective", + "id": "NET-10.1_NET-10.1_A01", + "prose": "the systems that collectively provide name/address resolution services for an organization are fault-tolerant." + }, + { + "name": "assessment-objective", + "id": "NET-10.1_NET-10.1_A02", + "prose": "the systems that collectively provide name/address resolution services for an organization implement internal role separation." + }, + { + "name": "assessment-objective", + "id": "NET-10.1_NET-10.1_A03", + "prose": "the systems that collectively provide name/address resolution services for an organization implement external role separation." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:sc-22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:sc-22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sc-22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sc-22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sc-22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:nfo-sc-22" + }, + { + "rel": "part-of", + "href": "#NET-10" + } + ] + }, + { + "id": "NET-10.2", + "title": "Secure Name / Address Resolution Service (Recursive or Caching Resolver)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "NET-10.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to perform data origin authentication and data integrity verification on the Domain Name Service (DNS) resolution responses received from authoritative sources when requested by client systems." + }, + { + "name": "assessment-objective", + "id": "NET-10.2_NET-10.2_A01", + "prose": "data origin authentication is requested for the name/address resolution responses that the system receives from authoritative sources." + }, + { + "name": "assessment-objective", + "id": "NET-10.2_NET-10.2_A02", + "prose": "data origin authentication is performed on the name/address resolution responses that the system receives from authoritative sources." + }, + { + "name": "assessment-objective", + "id": "NET-10.2_NET-10.2_A03", + "prose": "data integrity verification is requested for the name/address resolution responses that the system receives from authoritative sources." + }, + { + "name": "assessment-objective", + "id": "NET-10.2_NET-10.2_A04", + "prose": "data integrity verification is performed on the name/address resolution responses that the system receives from authoritative sources." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-21" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-21" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:sc-21" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-21" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:sc-21" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sc-21" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sc-21" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:nfo-sc-21" + }, + { + "rel": "part-of", + "href": "#NET-10" + } + ] + }, + { + "id": "NET-10.3", + "title": "Sender Policy Framework (SPF)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to validate the legitimacy of email communications through configuring a Domain Naming Service (DNS) Sender Policy Framework (SPF) record to specify the IP addresses and/or hostnames that are authorized to send email from the specified domain." + }, + { + "name": "assessment-objective", + "id": "NET-10.3_NET-10.3_A01", + "prose": "the legitimacy of email communications is validated through configuring a Domain Naming Service (DNS) Sender Policy Framework (SPF) record to specify the IP addresses and/or hostnames that are authorized to send email from the specified domain." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_9.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_9.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_9.5" + }, + { + "rel": "part-of", + "href": "#NET-10" + } + ] + }, + { + "id": "NET-10.4", + "title": "Domain Registrar Security", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "NET-10.4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to lock the domain name registrar to prevent a denial of service caused by unauthorized deletion, transfer or other unauthorized modification of a domain’s registration details." + }, + { + "name": "assessment-objective", + "id": "NET-10.4_NET-10.4_A01", + "prose": "the domain name registrar is locked to prevent a denial of service caused by unauthorized deletion, transfer or other unauthorized modification of a domain’s registration details." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#NET-10" + } + ] + }, + { + "id": "NET-11", + "title": "Out-of-Band Channels", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to utilize out-of-band channels for the electronic transmission of information and/or the physical shipment of system components or devices to authorized individuals." + }, + { + "name": "assessment-objective", + "id": "NET-11_NET-11_A01", + "prose": "out-of-band channels to be employed for the physical delivery or electronic transmission of information, system components or devices to individuals or the system are defined." + }, + { + "name": "assessment-objective", + "id": "NET-11_NET-11_A02", + "prose": "out-of-band channels are employed for the physical delivery or electronic transmission of information, system components or devices to individuals or systems." + }, + { + "name": "assessment-objective", + "id": "NET-11_NET-11_A03", + "prose": "information, system components or devices to employ out-of-band-channels for physical delivery or electronic transmission are defined." + }, + { + "name": "assessment-objective", + "id": "NET-11_NET-11_A04", + "prose": "individuals or systems to which physical delivery or electronic transmission of information, system components or devices is to be achieved via the employment of out-of-band channels are defined." + }, + { + "name": "assessment-objective", + "id": "NET-11_NET-11_A05", + "prose": "controls to be employed to ensure that only designated individuals or systems receive specific information, system components or devices are defined." + }, + { + "name": "assessment-objective", + "id": "NET-11_NET-11_A06", + "prose": "individuals or systems designated to receive specific information, system components or devices are defined." + }, + { + "name": "assessment-objective", + "id": "NET-11_NET-11_A07", + "prose": "information, system components or devices that only individuals or systems are designated to receive are defined." + }, + { + "name": "assessment-objective", + "id": "NET-11_NET-11_A08", + "prose": "organization-defined controls are employed to ensure that only authorized individuals or systems receive information, system components or devices." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:sws-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-37" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-37-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-37" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-37-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-37" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-37-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sc-37" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sc-37" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sc-37-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sc-37-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sc-37-1" + } + ] + }, + { + "id": "NET-12", + "title": "Safeguarding Data Over Open Networks", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "NET-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Cryptographic mechanisms exist to implement strong cryptography and security protocols to safeguard sensitive/regulated data during transmission over open, public networks." + }, + { + "name": "assessment-objective", + "id": "NET-12_NET-12_A01", + "prose": "approved authorizations for logical access to information and system resources are enforced in accordance with applicable access control policies." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ac-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ac-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ac-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:si-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:si-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:si-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:si-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:si-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ac-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ac-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:si-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:si-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:si-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:ac-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:si-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:si-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ac-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ac-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:si-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:si-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:si-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ac-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ac-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ac-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:si-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:si-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:si-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:si-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:si-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ac-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ac-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ac-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:si-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:si-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:si-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:si-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:si-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:si-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ac-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ac-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ac-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:si-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:si-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:si-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:si-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:ac-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:ac-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:si-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:si-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:si-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:si-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:ac-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:ac-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:ac-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:si-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:si-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:si-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:si-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:si-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:si-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ac-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ac-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ac-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:si-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:si-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:si-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:si-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ac-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ac-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ac-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:si-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:si-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:si-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:si-7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_4.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_4.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_4.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_4.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_4.2.1" + } + ] + }, + { + "id": "NET-12.1", + "title": "Wireless Link Protection", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to protect external and internal wireless links from signal parameter attacks through monitoring for unauthorized wireless connections, including scanning for unauthorized wireless access points and taking appropriate action, if an unauthorized connection is discovered." + }, + { + "name": "assessment-objective", + "id": "NET-12.1_NET-12.1_A01", + "prose": "external wireless links to be protected from particular types of signal parameter attacks are defined." + }, + { + "name": "assessment-objective", + "id": "NET-12.1_NET-12.1_A02", + "prose": "internal wireless links to be protected from particular types of signal parameter attacks are defined." + }, + { + "name": "assessment-objective", + "id": "NET-12.1_NET-12.1_A03", + "prose": "external wireless links are protected from types of signal parameter attacks or references to sources for such attacks." + }, + { + "name": "assessment-objective", + "id": "NET-12.1_NET-12.1_A04", + "prose": "internal wireless links are protected from types of signal parameter attacks or references to sources for such attacks." + }, + { + "name": "assessment-objective", + "id": "NET-12.1_NET-12.1_A05", + "prose": "types of signal parameter attacks or references to sources for such attacks from which to protect external wireless links are defined." + }, + { + "name": "assessment-objective", + "id": "NET-12.1_NET-12.1_A06", + "prose": "types of signal parameter attacks or references to sources for such attacks from which to protect internal wireless links are defined." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:sws-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-40" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-40" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sc-40" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-40" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_2.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_2.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_4.2.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.10.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.10.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_12.10.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_12.10.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_12.10.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_1.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_1.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_2.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_2.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_12.10.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_1.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_2.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_2.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_4.2.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_11.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_11.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_12.10.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_1.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_2.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_2.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_4.2.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_12.10.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_2.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_2.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_4.2.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_11.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_11.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.10.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.10.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_2.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_2.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_4.2.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.10.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.10.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-p2pe:_12.10.1" + }, + { + "rel": "part-of", + "href": "#NET-12" + } + ] + }, + { + "id": "NET-12.2", + "title": "End-User Messaging Technologies", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to prohibit the transmission of unprotected sensitive/regulated data by end-user messaging technologies." + }, + { + "name": "assessment-objective", + "id": "NET-12.2_NET-12.2_A01", + "prose": "the transmission of unprotected sensitive / regulated data by end-user messaging technologies is prohibited through administrative and/or technical means." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:net-1.8" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_4.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_4.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_4.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_4.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_4.2.2" + }, + { + "rel": "part-of", + "href": "#NET-12" + } + ] + }, + { + "id": "NET-13", + "title": "Electronic Messaging", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to protect the confidentiality, integrity and availability of electronic messaging communications." + }, + { + "name": "assessment-objective", + "id": "NET-13_NET-13_A01", + "prose": "cryptographic mechanisms are implemented to protect message externals unless otherwise protected by alternative physical controls." + }, + { + "name": "assessment-objective", + "id": "NET-13_NET-13_A02", + "prose": "alternative physical controls to protect message externals are defined." + }, + { + "name": "assessment-objective", + "id": "NET-13_NET-13_A03", + "prose": "use of Voice over Internet Protocol (VoIP) technologies is controlled." + }, + { + "name": "assessment-objective", + "id": "NET-13_NET-13_A04", + "prose": "use of Voice over Internet Protocol (VoIP) technologies is monitored." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.14" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_13.2.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_13.2.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-8-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-19" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-08-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-08-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.13.14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.13.14-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.13.14-b" + } + ] + }, + { + "id": "NET-14", + "title": "Remote Access", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "NET-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to define, control and review organization-approved, secure remote access methods." + }, + { + "name": "assessment-objective", + "id": "NET-14_NET-14_A01", + "prose": "usage restrictions are established for each type of allowable remote system access." + }, + { + "name": "assessment-objective", + "id": "NET-14_NET-14_A02", + "prose": "types of allowable remote system access are defined." + }, + { + "name": "assessment-objective", + "id": "NET-14_NET-14_A03", + "prose": "connection requirements are established for each type of allowable remote system access." + }, + { + "name": "assessment-objective", + "id": "NET-14_NET-14_A04", + "prose": "each type of remote system access is authorized prior to establishing such connections." + }, + { + "name": "assessment-objective", + "id": "NET-14_NET-14_A05", + "prose": "configuration requirements are established for each type of allowable remote system access." + }, + { + "name": "assessment-objective", + "id": "NET-14_NET-14_A06", + "prose": "implementation guidance is established and documented for each type of remote access allowed." + }, + { + "name": "assessment-objective", + "id": "NET-14_NET-14_A07", + "prose": "each type of remote access to the system is authorized prior to allowing such connections." + }, + { + "name": "assessment-objective", + "id": "NET-14_NET-14_A08", + "prose": "information about remote access mechanisms is protected from unauthorized use and disclosure." + }, + { + "name": "assessment-objective", + "id": "NET-14_NET-14_A09", + "prose": "remote access to the system is routed through authorized access control points." + }, + { + "name": "assessment-objective", + "id": "NET-14_NET-14_A10", + "prose": "remote access to the system is routed through managed access control points." + }, + { + "name": "assessment-objective", + "id": "NET-14_NET-14_A11", + "prose": "remote execution of privileged commands is authorized." + }, + { + "name": "assessment-objective", + "id": "NET-14_NET-14_A12", + "prose": "remote access to security-relevant information is authorized." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_12.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_12.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_12.7" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:net-3.1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:net-3.2" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:net-3.2-a" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:net-3.2-b" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:net-3.2-c" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:net-3.2-d" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:net-3.2-e" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:net-3.2-f" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:net-3.2-g" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:net-3.2-h" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_6.7" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_6.7" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:pr.ac-p3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ac-17" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ac-17-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-17" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-17-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ac-17" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-17" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-17-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ac-17" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ac-17" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ac-17" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ac-17" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ac-17-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:ac-17" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:ac-17" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ac-17" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ac-17-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ac-17" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ac-17-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.1.12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.12.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.12.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.12.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.12.d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.12.a-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.12.a-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.12.a-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.12.a-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.12.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.12.c-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.12.c-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.12.d-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.12.d-2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_3.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_7.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.2.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.8.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_12.8.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_7.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.2.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_12.8.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_12.8.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_8.2.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_12.8.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_7.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.2.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_12.8.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_12.8.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_3.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_7.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.2.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.8.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_3.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_7.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.2.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.8.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-p2pe:_12.8.1" + } + ] + }, + { + "id": "NET-14.1", + "title": "Automated Monitoring & Control", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "NET-14.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to monitor and control remote access sessions." + }, + { + "name": "assessment-objective", + "id": "NET-14.1_NET-14.1_A01", + "prose": "remote access sessions are controlled." + }, + { + "name": "assessment-objective", + "id": "NET-14.1_NET-14.1_A02", + "prose": "remote access sessions are permitted." + }, + { + "name": "assessment-objective", + "id": "NET-14.1_NET-14.1_A03", + "prose": "the types of permitted remote access are identified." + }, + { + "name": "assessment-objective", + "id": "NET-14.1_NET-14.1_A04", + "prose": "remote access sessions are monitored." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_12.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_12.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_12.7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ac-17-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-17-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:ac-17-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-17-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ac-17-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ac-17-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.1.12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.12.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.12-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.12-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.12-c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.12-d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-5" + }, + { + "rel": "part-of", + "href": "#NET-14" + } + ] + }, + { + "id": "NET-14.2", + "title": "Protection of Confidentiality / Integrity Using Encryption", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "NET-14.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Cryptographic mechanisms exist to protect the confidentiality and integrity of remote access sessions (e.g., VPN)." + }, + { + "name": "assessment-objective", + "id": "NET-14.2_NET-14.2_A01", + "prose": "cryptographic mechanisms to protect the confidentiality of remote access sessions are identified." + }, + { + "name": "assessment-objective", + "id": "NET-14.2_NET-14.2_A02", + "prose": "cryptographic mechanisms to protect the confidentiality of remote access sessions are implemented." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_12.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_12.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_12.7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ac-17-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-17-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:ac-17-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-17-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ac-17-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ac-17-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.1.13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.12.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.13-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.13-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-2" + }, + { + "rel": "part-of", + "href": "#NET-14" + } + ] + }, + { + "id": "NET-14.3", + "title": "Managed Access Control Points", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "NET-14.3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to route all remote accesses through managed network access control points (e.g., VPN concentrator)." + }, + { + "name": "assessment-objective", + "id": "NET-14.3_NET-14.3_A01", + "prose": "managed access control points are identified and implemented." + }, + { + "name": "assessment-objective", + "id": "NET-14.3_NET-14.3_A02", + "prose": "remote access is routed through managed network access control points." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_12.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_12.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_12.7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ac-17-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-17-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:ac-17-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-17-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ac-17-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ac-17-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.1.14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.12.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.12.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.14-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.14-b" + }, + { + "rel": "part-of", + "href": "#NET-14" + } + ] + }, + { + "id": "NET-14.4", + "title": "Remote Privileged Commands & Sensitive Data Access", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "NET-14.4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to restrict the execution of privileged commands and access to security-relevant information via remote access only for compelling operational needs." + }, + { + "name": "assessment-objective", + "id": "NET-14.4_NET-14.4_A01", + "prose": "privileged commands authorized for remote execution are identified." + }, + { + "name": "assessment-objective", + "id": "NET-14.4_NET-14.4_A02", + "prose": "security-relevant information authorized to be accessed remotely is identified." + }, + { + "name": "assessment-objective", + "id": "NET-14.4_NET-14.4_A03", + "prose": "the execution of the identified privileged commands via remote access is authorized." + }, + { + "name": "assessment-objective", + "id": "NET-14.4_NET-14.4_A04", + "prose": "access to the identified security-relevant information via remote access is authorized." + }, + { + "name": "assessment-objective", + "id": "NET-14.4_NET-14.4_A05", + "prose": "the rationale for remote access is documented in the security plan for the system." + }, + { + "name": "assessment-objective", + "id": "NET-14.4_NET-14.4_A06", + "prose": "remote execution of privileged commands is authorized." + }, + { + "name": "assessment-objective", + "id": "NET-14.4_NET-14.4_A07", + "prose": "remote access to security-relevant information is authorized." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ac-17-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-17-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:ac-17-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-17-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ac-17-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ac-17-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.1.15" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.12.d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.15-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.15-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.15-c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.15-d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.12.d-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.12.d-2" + }, + { + "rel": "part-of", + "href": "#NET-14" + } + ] + }, + { + "id": "NET-14.5", + "title": "Work From Anywhere (WFA) - Telecommuting Security", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "NET-14.5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to define secure telecommuting practices and govern remote access to Technology Assets, Applications, Services and/or Data (TAASD) for remote workers." + }, + { + "name": "assessment-objective", + "id": "NET-14.5_NET-14.5_A01", + "prose": "secure telecommuting practices are defined." + }, + { + "name": "assessment-objective", + "id": "NET-14.5_NET-14.5_A02", + "prose": "technical measures govern remote access to systems and data for remote workers." + }, + { + "name": "assessment-objective", + "id": "NET-14.5_NET-14.5_A03", + "prose": "administrative measures govern rules of behavior for telecommuting practices." + }, + { + "name": "assessment-objective", + "id": "NET-14.5_NET-14.5_A04", + "prose": "security requirements to be employed at alternate work sites are defined." + }, + { + "name": "assessment-objective", + "id": "NET-14.5_NET-14.5_A05", + "prose": "alternate work sites allowed for use by employees are determined." + }, + { + "name": "assessment-objective", + "id": "NET-14.5_NET-14.5_A06", + "prose": "the following security requirements are employed at alternate work sites: ." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:hrs-04" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_6.7" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_7.9" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_6.2.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_11.2.6" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_6.7" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_7.9" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:pr.ac-p3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.1.12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.10.6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.12.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.12.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.10.06.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.10.06.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.10.06.odp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.10.06.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.10.06.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-2" + }, + { + "rel": "part-of", + "href": "#NET-14" + } + ] + }, + { + "id": "NET-14.6", + "title": "Third-Party Remote Access Governance", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "NET-14.6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to proactively control and monitor third-party accounts used to access, support, or maintain system components via remote access." + }, + { + "name": "assessment-objective", + "id": "NET-14.6_NET-14.6_A01", + "prose": "proactively control and monitor third-party accounts used to access, support or maintain system components via remote access." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.2.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.2.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_8.2.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.2.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.2.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.2.7" + }, + { + "rel": "part-of", + "href": "#NET-14" + } + ] + }, + { + "id": "NET-14.7", + "title": "Endpoint Security Validation", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to validate the security posture of the endpoint devices (e.g., software versions, patch levels, etc.) prior to allowing devices to connect to organizational Technology Assets, Applications and/or Services (TAAS)." + }, + { + "name": "assessment-objective", + "id": "NET-14.7_NET-14.7_A01", + "prose": "cybersecurity / data privacy compliance checks are performed on constituent system components prior to the establishment of the internal connection." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_13.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_13.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_13.5" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:uem-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ca-09-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ca-09-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-7" + }, + { + "rel": "part-of", + "href": "#NET-14" + } + ] + }, + { + "id": "NET-14.8", + "title": "Expeditious Disconnect / Disable Capability", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to provide the capability to expeditiously disconnect or disable a user's remote access session." + }, + { + "name": "assessment-objective", + "id": "NET-14.8_NET-14.8_A01", + "prose": "the time period within which to disconnect or disable remote access to the system is defined." + }, + { + "name": "assessment-objective", + "id": "NET-14.8_NET-14.8_A02", + "prose": "the capability to disconnect or disable remote access to the system within an organization-defined time period is provided." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ac-17-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-17-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-17-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ac-17-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ac-17-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ac-17-09" + }, + { + "rel": "part-of", + "href": "#NET-14" + } + ] + }, + { + "id": "NET-15", + "title": "Wireless Networking", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "NET-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to control authorized wireless usage and monitor for unauthorized wireless access." + }, + { + "name": "assessment-objective", + "id": "NET-15_NET-15_A01", + "prose": "usage restrictions are established for each type of wireless access to the system." + }, + { + "name": "assessment-objective", + "id": "NET-15_NET-15_A02", + "prose": "connection requirements are established for each type of wireless access to the system." + }, + { + "name": "assessment-objective", + "id": "NET-15_NET-15_A03", + "prose": "wireless access points are identified." + }, + { + "name": "assessment-objective", + "id": "NET-15_NET-15_A04", + "prose": "wireless access is authorized prior to allowing such connections." + }, + { + "name": "assessment-objective", + "id": "NET-15_NET-15_A05", + "prose": "each type of wireless access to the system is defined." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:net-2.1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-1.6-re-1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-2.2" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:ndr-1.6" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.21" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_13.1.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.21" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ac-18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ac-18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ac-18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ac-18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ac-18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ac-18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ac-18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:ac-18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:ac-18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ac-18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ac-18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.1.16" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.16.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.16.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.16-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.16-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.16.a-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.16.a-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.16.a-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_11.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_11.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_11.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_11.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.2.2" + } + ] + }, + { + "id": "NET-15.1", + "title": "Authentication & Encryption", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "NET-15.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to secure Wi-Fi (e.g., IEEE 802.11) and prevent unauthorized access by:\r\n(1) Authenticating devices trying to connect; and \r\n(2) Encrypting transmitted data." + }, + { + "name": "assessment-objective", + "id": "NET-15.1_NET-15.1_A01", + "prose": "wireless access to the system is protected using authentication." + }, + { + "name": "assessment-objective", + "id": "NET-15.1_NET-15.1_A02", + "prose": "wireless access to the system is protected using encryption." + }, + { + "name": "assessment-objective", + "id": "NET-15.1_NET-15.1_A03", + "prose": "information is/are maintained during preparation for transmission." + }, + { + "name": "assessment-objective", + "id": "NET-15.1_NET-15.1_A04", + "prose": "information is/are maintained during reception." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:ndr-1.6-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ac-18-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-18-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:ac-18-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-18-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ac-18-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ac-18-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.1.17" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.16.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.16.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.16.d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.17-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.17-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.16.d-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.16.d-02" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_2.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_2.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_4.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_4.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_2.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_2.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_2.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_2.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_4.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_2.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_2.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_2.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_2.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_4.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_2.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_2.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_4.2.1" + }, + { + "rel": "part-of", + "href": "#NET-15" + } + ] + }, + { + "id": "NET-15.2", + "title": "Disable Wireless Networking", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "NET-15.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to disable unnecessary wireless networking capabilities that are internally embedded within system components prior to issuance to end users." + }, + { + "name": "assessment-objective", + "id": "NET-15.2_NET-15.2_A01", + "prose": "when not intended for use, wireless networking capabilities embedded within system components are disabled prior to issuance and deployment." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ac-18-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-18-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:ac-18-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-18-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ac-18-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ac-18-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.16.c" + }, + { + "rel": "part-of", + "href": "#NET-15" + } + ] + }, + { + "id": "NET-15.3", + "title": "Restrict Configuration By Users", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "NET-15.3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to identify and explicitly authorize users who are allowed to independently configure wireless networking capabilities." + }, + { + "name": "assessment-objective", + "id": "NET-15.3_NET-15.3_A01", + "prose": "users allowed to independently configure wireless networking capabilities are identified." + }, + { + "name": "assessment-objective", + "id": "NET-15.3_NET-15.3_A02", + "prose": "users allowed to independently configure wireless networking capabilities are explicitly authorized." + }, + { + "name": "assessment-objective", + "id": "NET-15.3_NET-15.3_A03", + "prose": "radio antennas are selected to reduce the probability that signals from wireless access points can be received outside of organization-controlled boundaries." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ac-18-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-18-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:ac-18-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-18-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ac-18-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.16.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.16.c" + }, + { + "rel": "part-of", + "href": "#NET-15" + } + ] + }, + { + "id": "NET-15.4", + "title": "Wireless Boundaries", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to confine wireless communications to organization-controlled boundaries." + }, + { + "name": "assessment-objective", + "id": "NET-15.4_NET-15.4_A01", + "prose": "transmission power levels are calibrated to reduce the probability that signals from wireless access points can be received outside of organization-controlled boundaries." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ac-18-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-18-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:ac-18-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-18-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ac-18-05" + }, + { + "rel": "part-of", + "href": "#NET-15" + } + ] + }, + { + "id": "NET-15.5", + "title": "Rogue Wireless Detection", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to test for the presence of Wireless Access Points (WAPs) and identify all authorized and unauthorized WAPs within the facility(ies)." + }, + { + "name": "assessment-objective", + "id": "NET-15.5_NET-15.5_A01", + "prose": "all authorized and unauthorized Wireless Access Points (WAPs) are identified within the facility(ies)." + }, + { + "name": "assessment-objective", + "id": "NET-15.5_NET-15.5_A02", + "prose": "rogue WAPs are responded to in accordance with published incident response plans." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:sws-06" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_11.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_11.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.2.1" + }, + { + "rel": "part-of", + "href": "#NET-15" + } + ] + }, + { + "id": "NET-16", + "title": "Intranets", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to establish trust relationships with other organizations owning, operating, and/or maintaining intranet systems, allowing authorized individuals to: \r\n(1) Access the intranet from external Technology Assets, Applications and/or Services (TAAS); and\r\n(2) Process, store, and/or transmit organization-controlled information using the external TAAS." + }, + { + "name": "assessment-objective", + "id": "NET-16_NET-16_A01", + "prose": "trust relationships are established with other organizations owning, operating, and/or maintaining intranet systems." + }, + { + "name": "assessment-objective", + "id": "NET-16_NET-16_A02", + "prose": "trust relationships with other organizations allow authorized individuals to: \r\n •Access the intranet from external systems. and/or and\r\n •Process, store, and/or transmit organization-controlled information using the external systems." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + } + ] + }, + { + "id": "NET-17", + "title": "Data Loss Prevention (DLP)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "NET-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to implement Data Loss Prevention (DLP) to protect sensitive information as it is stored, transmitted and processed." + }, + { + "name": "assessment-objective", + "id": "NET-17_NET-17_A01", + "prose": "points where communications traffic is to be analyzed are defined." + }, + { + "name": "assessment-objective", + "id": "NET-17_NET-17_A02", + "prose": "outbound communications traffic is analyzed at interfaces external to the system to detect covert exfiltration of information." + }, + { + "name": "assessment-objective", + "id": "NET-17_NET-17_A03", + "prose": "outbound communications traffic is analyzed at interfaces internal to the system to detect covert exfiltration of information." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_3.13" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_3.13" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:uem-11" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:dat-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-7-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-07-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-04-18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sc-07-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:si-04-18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-07-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-04-18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sc-07-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:si-04-18" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:a3.2.6" + } + ] + }, + { + "id": "NET-18", + "title": "DNS & Content Filtering", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "NET-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to force Internet-bound network traffic through a proxy device (e.g., Policy Enforcement Point (PEP)) for URL content filtering and DNS filtering to limit a user's ability to connect to dangerous or prohibited Internet sites." + }, + { + "name": "assessment-objective", + "id": "NET-18_NET-18_A01", + "prose": "Internet-bound network traffic is routed through a proxy device or service for URL content filtering and DNS filtering to limit a user's ability to connect to dangerous or prohibited Internet sites." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_9.0" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_9.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_9.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_13.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_9.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_9.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_9.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_9.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_9.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_13.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.14" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.23" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_13.2.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.14" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-7-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-18-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-07-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-18-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sc-07-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sc-18-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:sc-07-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-07-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-18-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sc-07-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sc-07-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.1.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.14.06.c" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:de.cm-03" + } + ] + }, + { + "id": "NET-18.1", + "title": "Route Internal Traffic to Proxy Servers", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to route internal communications traffic to external networks through organization-approved proxy servers at managed interfaces." + }, + { + "name": "assessment-objective", + "id": "NET-18.1_NET-18.1_A01", + "prose": "internal communications traffic to be routed to external networks is defined." + }, + { + "name": "assessment-objective", + "id": "NET-18.1_NET-18.1_A02", + "prose": "external networks to which internal communications traffic is to be routed are defined." + }, + { + "name": "assessment-objective", + "id": "NET-18.1_NET-18.1_A03", + "prose": "internal communications traffic is routed to external networks through authenticated proxy servers at managed interfaces." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_13.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_13.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-7-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-07-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sc-07-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:sc-07-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-07-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sc-07-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sc-07-08" + }, + { + "rel": "part-of", + "href": "#NET-18" + } + ] + }, + { + "id": "NET-18.2", + "title": "Visibility of Encrypted Communications", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "NET-18.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to configure the proxy to make encrypted communications traffic visible to monitoring tools and mechanisms." + }, + { + "name": "assessment-objective", + "id": "NET-18.2_NET-18.2_A01", + "prose": "encrypted communications traffic to be made visible to system monitoring tools and mechanisms is defined." + }, + { + "name": "assessment-objective", + "id": "NET-18.2_NET-18.2_A02", + "prose": "system monitoring tools and mechanisms to be provided access to encrypted communications traffic are defined." + }, + { + "name": "assessment-objective", + "id": "NET-18.2_NET-18.2_A03", + "prose": "provisions are made so that encrypted communications traffic is visible to system monitoring tools and mechanisms." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-04-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:si-04-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-04-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:si-04-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:si-04-10" + }, + { + "rel": "part-of", + "href": "#NET-18" + } + ] + }, + { + "id": "NET-18.3", + "title": "Route Privileged Network Access", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to route networked, privileged accesses through a dedicated, managed interface for purposes of access control and auditing." + }, + { + "name": "assessment-objective", + "id": "NET-18.3_NET-18.3_A01", + "prose": "networked, privileged accesses are routed through a dedicated, managed interface for purposes of auditing." + }, + { + "name": "assessment-objective", + "id": "NET-18.3_NET-18.3_A02", + "prose": "networked, privileged accesses are routed through a dedicated, managed interface for purposes of access control." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-07-15" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-07-15" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sc-07-15" + }, + { + "rel": "part-of", + "href": "#NET-18" + } + ] + }, + { + "id": "NET-18.4", + "title": "Protocol Compliance Enforcement", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "NET-18.4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to ensure network traffic complies with Internet Engineering Task Force (IETF) protocol specifications." + }, + { + "name": "assessment-objective", + "id": "NET-18.4_NET-18.4_A01", + "prose": "technologies are configured block/drop network traffic that does not comply with Internet Engineering Task Force (IETF) protocol specifications." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#NET-18" + } + ] + }, + { + "id": "NET-18.5", + "title": "Domain Name Verification", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "NET-18.5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure that domain name lookups, whether for internal or external domains, are validated according to Domain Name System Security Extensions (DNSSEC)." + }, + { + "name": "assessment-objective", + "id": "NET-18.5_NET-18.5_A01", + "prose": "internal domain name lookups are validated according to Domain Name System Security Extensions (DNSSEC)." + }, + { + "name": "assessment-objective", + "id": "NET-18.5_NET-18.5_A02", + "prose": "external domain name lookups are validated according to Domain Name System Security Extensions (DNSSEC)." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#NET-18" + } + ] + }, + { + "id": "NET-18.6", + "title": "Internet Address Denylisting", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "NET-18.6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to implement Internet address denylisting protections that blocks traffic received from or destined to a denylisted Internet address." + }, + { + "name": "assessment-objective", + "id": "NET-18.6_NET-18.6_A01", + "prose": "Internet address to be blocked are documented on a denylist." + }, + { + "name": "assessment-objective", + "id": "NET-18.6_NET-18.6_A02", + "prose": "Internet address denylisting protections blocks traffic received from or destined to a denylisted Internet address." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#NET-18" + } + ] + }, + { + "id": "NET-18.7", + "title": "Bandwidth Control", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "NET-18.7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to implement bandwidth control technologies to limit the amount of bandwidth used by categories of domains that are bandwidth-intensive." + }, + { + "name": "assessment-objective", + "id": "NET-18.7_NET-18.7_A01", + "prose": "bandwidth-intensive Internet categories are defined." + }, + { + "name": "assessment-objective", + "id": "NET-18.7_NET-18.7_A02", + "prose": "bandwidth control technologies limit the amount of bandwidth used by categories of domains that are bandwidth-intensive." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#NET-18" + } + ] + }, + { + "id": "NET-18.8", + "title": "Authenticated Proxy", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "NET-18.8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to force systems and processes to authenticate Internet-bound traffic with a proxy to enable user, group and/or location-aware security controls." + }, + { + "name": "assessment-objective", + "id": "NET-18.8_NET-18.8_A01", + "prose": "systems and processes are required to authenticate Internet-bound traffic with a proxy to enable user, group and/or location-aware security controls." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#NET-18" + } + ] + }, + { + "id": "NET-18.9", + "title": "Certificate Denylisting", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "NET-18.9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to prevent communication with Technology Assets, Applications and/or Services (TAAS) that use a set of known bad certificates." + }, + { + "name": "assessment-objective", + "id": "NET-18.9_NET-18.9_A01", + "prose": "a set of known bad certificates is documented." + }, + { + "name": "assessment-objective", + "id": "NET-18.9_NET-18.9_A02", + "prose": "communication with systems and/or services that use known bad certificates is blocked." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#NET-18" + } + ] + }, + { + "id": "NET-19", + "title": "Content Disarm and Reconstruction (CDR)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "NET-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated Content Disarm and Reconstruction (CDR) mechanisms exist to detect the presence of unapproved active content and facilitate its removal, resulting in content with only known safe elements." + }, + { + "name": "assessment-objective", + "id": "NET-19_NET-19_A01", + "prose": "Automated Content Disarm and Reconstruction (CDR) technologies are implemented." + }, + { + "name": "assessment-objective", + "id": "NET-19_NET-19_A02", + "prose": "Automated Content Disarm and Reconstruction (CDR) mechanisms are configured to detect the presence of unapproved active content and facilitate its removal, resulting in content with only known safe elements." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + } + ] + }, + { + "id": "NET-20", + "title": "Email Content Protections", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "NET-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to implement an email filtering security service to detect malicious attachments in emails and prevent users from accessing them." + }, + { + "name": "assessment-objective", + "id": "NET-20_NET-20_A01", + "prose": "an email filtering security service is implemented." + }, + { + "name": "assessment-objective", + "id": "NET-20_NET-20_A02", + "prose": "email filtering security services are configured to detect malicious attachments in emails and prevent users from accessing them." + }, + { + "name": "assessment-objective", + "id": "NET-20_NET-20_A03", + "prose": "email filtering security services are configured to prevent users from accessing malicious email attachments." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + } + ] + }, + { + "id": "NET-20.1", + "title": "Email Domain Reputation Protections", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "NET-20.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to monitor the organization's email domain’s reputation and protect the email domain’s reputation." + }, + { + "name": "assessment-objective", + "id": "NET-20.1_NET-20.1_A01", + "prose": "domains associated with domain used for email purposes are identified." + }, + { + "name": "assessment-objective", + "id": "NET-20.1_NET-20.1_A02", + "prose": "processes exist to monitor the organization's email domain’s reputation." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#NET-20" + } + ] + }, + { + "id": "NET-20.2", + "title": "Sender Denylisting", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "NET-20.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to implement sender denylisting protections that prevent the reception of email from denylisted senders, domains and/or email servers." + }, + { + "name": "assessment-objective", + "id": "NET-20.2_NET-20.2_A01", + "prose": "a set of denylisted senders, domains and/or email servers is documented." + }, + { + "name": "assessment-objective", + "id": "NET-20.2_NET-20.2_A02", + "prose": "email systems are configured to prevent the reception of email from denylisted senders, domains and/or email servers." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#NET-20" + } + ] + }, + { + "id": "NET-20.3", + "title": "Authenticated Received Chain (ARC)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "NET-20.3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to utilize an authenticated received chain that allows for an intermediary to sign its own authentication of the original email, allowing downstream entities to accept the intermediary’s authentication even if the email was changed." + }, + { + "name": "assessment-objective", + "id": "NET-20.3_NET-20.3_A01", + "prose": "email systems are configured to utilize an authenticated received chain that allows for an intermediary to sign its own authentication of the original email, allowing downstream entities to accept the intermediary’s authentication even if the email was changed." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#NET-20" + } + ] + }, + { + "id": "NET-20.4", + "title": "Domain-Based Message Authentication Reporting and Conformance (DMARC)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "NET-20.4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to implement domain signature verification protections that authenticate incoming email according to the Domain-based Message Authentication Reporting and Conformance (DMARC)." + }, + { + "name": "assessment-objective", + "id": "NET-20.4_NET-20.4_A01", + "prose": "domain signature verification protections are implemented to authenticate incoming email according to the Domain-based Message Authentication Reporting and Conformance (DMARC)." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_9.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_9.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_9.5" + }, + { + "rel": "part-of", + "href": "#NET-20" + } + ] + }, + { + "id": "NET-20.5", + "title": "User Digital Signatures for Outgoing Email", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "NET-20.5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to enable users to digitally sign their emails, allowing external parties to authenticate the email’s sender and its contents according to the Domain-based Message Authentication Reporting and Conformance (DMARC) email authentication protocol." + }, + { + "name": "assessment-objective", + "id": "NET-20.5_NET-20.5_A01", + "prose": "email systems are configured to enable users to digitally sign their emails, allowing external parties to authenticate the email’s sender and its contents according to the Domain-based Message Authentication Reporting and Conformance (DMARC) email authentication protocol." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#NET-20" + } + ] + }, + { + "id": "NET-20.6", + "title": "Encryption for Outgoing Email", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "NET-20.6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to enable the encryption of outgoing emails using organization-approved cryptographic means." + }, + { + "name": "assessment-objective", + "id": "NET-20.6_NET-20.6_A01", + "prose": "email systems are configured to enable the encryption of outgoing emails." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#NET-20" + } + ] + }, + { + "id": "NET-20.7", + "title": "Adaptive Email Protections", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "NET-20.7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to utilize adaptive email protections that involve employing risk-based analysis in the application and enforcement of email protections." + }, + { + "name": "assessment-objective", + "id": "NET-20.7_NET-20.7_A01", + "prose": "email systems are configured to utilize adaptive email protections that involve employing risk-based analysis in the application and enforcement of email protections." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#NET-20" + } + ] + }, + { + "id": "NET-20.8", + "title": "Email Labeling", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "NET-20.8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to implement email labeling that apply organization-defined tags to incoming or outgoing email." + }, + { + "name": "assessment-objective", + "id": "NET-20.8_NET-20.8_A01", + "prose": "email systems are configured to implement email labeling that apply organization-defined tags to incoming email." + }, + { + "name": "assessment-objective", + "id": "NET-20.8_NET-20.8_A02", + "prose": "email systems are configured to implement email labeling that apply organization-defined tags to outgoing email." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#NET-20" + } + ] + }, + { + "id": "NET-20.9", + "title": "User Threat Reporting", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "NET-20.9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to incorporate submissions from users of phishing attempts, spam or otherwise malicious actions to better protect the organization." + }, + { + "name": "assessment-objective", + "id": "NET-20.9_NET-20.9_A01", + "prose": "methods exist to receive submissions from users of phishing attempts, spam or otherwise malicious actions." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#NET-20" + } + ] + } + ] + }, + { + "id": "physical-environmental-security", + "title": "Physical & Environmental Security", + "controls": [ + { + "id": "PES-01", + "title": "Physical & Environmental Protections", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "PES-01" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.33", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.34", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.35", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.36", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.37", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.38", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.39", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.40", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to facilitate the operation of physical and environmental protection controls." + }, + { + "name": "assessment-objective", + "id": "PES-01_PES-01_A01", + "prose": "the physical facility where organizational systems reside is protected." + }, + { + "name": "assessment-objective", + "id": "PES-01_PES-01_A02", + "prose": "the location or site of the facility where the system resides is planned considering physical and environmental hazards." + }, + { + "name": "assessment-objective", + "id": "PES-01_PES-01_A03", + "prose": "for existing facilities, physical and environmental hazards are considered in the organizational risk management strategy." + }, + { + "name": "assessment-objective", + "id": "PES-01_PES-01_A04", + "prose": "the support infrastructure for organizational systems is protected." + }, + { + "name": "assessment-objective", + "id": "PES-01_PES-01_A05", + "prose": "the physical facility where organizational systems reside is monitored." + }, + { + "name": "assessment-objective", + "id": "PES-01_PES-01_A06", + "prose": "the support infrastructure for organizational systems is monitored." + }, + { + "name": "assessment-objective", + "id": "PES-01_PES-01_A07", + "prose": "physical security operations are conducted according to documented policies, standards, procedures and/or other organizational directives." + }, + { + "name": "assessment-objective", + "id": "PES-01_PES-01_A08", + "prose": "adequate resources (e.g., people, processes, technologies, data and/or facilities) are provided to support physical security operations." + }, + { + "name": "assessment-objective", + "id": "PES-01_PES-01_A09", + "prose": "responsibility and authority for the performance of physical security-related activities are assigned to designated personnel." + }, + { + "name": "assessment-objective", + "id": "PES-01_PES-01_A10", + "prose": "personnel performing physical security-related activities have the skills and knowledge needed to perform their assigned duties." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss01.04" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss01.05" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss05.05" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dcs-01" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:phy-01" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:org-3.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.14" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.15" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.18" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_7.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_7.5" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_9.1.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_11.1.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_13.2.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.14" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.15" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.18" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_7.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_7.5" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:pr.po-p4" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:pr.ac-p2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:pe-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pe-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pe-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pe-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pe-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:pe-01" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.310-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pe-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pe-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pe-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pe-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pe-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pe-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pe-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:pe-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:pe-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:pe-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:pe-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:pe-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:pe-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:pe-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.10.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:nfo-pe-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.08.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.08.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.10.01.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.10.07.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.10.2-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.10.2-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.10.2-c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.10.2-d" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.am" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.aa" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.aa-06" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ir-02" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:de.cm-02" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_9.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_9.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_9.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-p2pe:_9.1.1" + } + ] + }, + { + "id": "PES-01.1", + "title": "Physical Security Plan (PSP)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to document a Physical Security Plan (PSP), or similar document, to summarize the implemented security controls to protect physical access to technology assets, as well as applicable risks and threats." + }, + { + "name": "assessment-objective", + "id": "PES-01.1_PES-01.1_A01", + "prose": "a Site Security Plan (SitePlan) is documented for each server and communications room to summarize the implemented security controls to protect physical access to technology assets, as well as applicable risks and threats." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "part-of", + "href": "#PES-01" + } + ] + }, + { + "id": "PES-01.2", + "title": "Zone-Based Physical Security", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to implement a zone-based approach to physical security." + }, + { + "name": "assessment-objective", + "id": "PES-01.2_PES-01.2_A01", + "prose": "a zone-based approach to physical security is developed." + }, + { + "name": "assessment-objective", + "id": "PES-01.2_PES-01.2_A02", + "prose": "a zone-based approach to physical security is implemented." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#PES-01" + } + ] + }, + { + "id": "PES-02", + "title": "Physical Access Authorizations", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "PES-02" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Physical access control mechanisms exist to maintain a current list of personnel with authorized access to organizational facilities (except for those areas within the facility officially designated as publicly accessible)." + }, + { + "name": "assessment-objective", + "id": "PES-02_PES-02_A01", + "prose": "authorized individuals allowed physical access are identified." + }, + { + "name": "assessment-objective", + "id": "PES-02_PES-02_A02", + "prose": "physical access to operating environments is limited to authorized individuals." + }, + { + "name": "assessment-objective", + "id": "PES-02_PES-02_A03", + "prose": "physical access to organizational systems is limited to authorized individuals." + }, + { + "name": "assessment-objective", + "id": "PES-02_PES-02_A04", + "prose": "physical access to equipment is limited to authorized individuals." + }, + { + "name": "assessment-objective", + "id": "PES-02_PES-02_A05", + "prose": "the frequency at which to review the access list detailing authorized facility access by individuals is defined." + }, + { + "name": "assessment-objective", + "id": "PES-02_PES-02_A06", + "prose": "a list of individuals with authorized access to the facility where the system resides is approved." + }, + { + "name": "assessment-objective", + "id": "PES-02_PES-02_A07", + "prose": "a list of individuals with authorized access to the facility where the system resides is maintained." + }, + { + "name": "assessment-objective", + "id": "PES-02_PES-02_A08", + "prose": "authorization credentials are issued for facility access." + }, + { + "name": "assessment-objective", + "id": "PES-02_PES-02_A09", + "prose": "the facility access list is reviewed per an organization-defined frequency." + }, + { + "name": "assessment-objective", + "id": "PES-02_PES-02_A10", + "prose": "individuals from the facility access list are removed when access is no longer required." + }, + { + "name": "assessment-objective", + "id": "PES-02_PES-02_A11", + "prose": "physical access restrictions associated with changes to the system are approved." + }, + { + "name": "assessment-objective", + "id": "PES-02_PES-02_A12", + "prose": "a list of individuals with authorized access to the facility where the system resides is developed." + }, + { + "name": "assessment-objective", + "id": "PES-02_PES-02_A13", + "prose": "physical access authorizations are enforced at entry and exit points to the facility where the system resides by verifying individual physical access authorizations before granting access." + }, + { + "name": "assessment-objective", + "id": "PES-02_PES-02_A14", + "prose": "the facility access list is reviewed ." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss05.05" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.15" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.18" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_7.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_9.1.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_11.1.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.15" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.18" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_7.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:pe-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pe-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:pe-02" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.310-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pe-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pe-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pe-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pe-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pe-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:pe-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:pe-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:pe-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:pe-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.10.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.08.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.08.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.10.01.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.10.01.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.10.01.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.10.01.d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.10.07.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.10.1-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.10.1-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.10.1-c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.10.1-d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.04.05-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.10.01.odp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.10.01.a-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.10.01.a-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.10.01.a-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.10.01.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.10.01.d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.10.07.a.01" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.aa" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.aa-06" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.3.11" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.3.11" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_9.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_9.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_9.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.3.11" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.3.11" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.3.1" + } + ] + }, + { + "id": "PES-02.1", + "title": "Role-Based Physical Access", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "PES-02.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Physical access control mechanisms exist to authorize physical access to facilities based on the position or role of the individual." + }, + { + "name": "assessment-objective", + "id": "PES-02.1_PES-02.1_A01", + "prose": "physical access to the facility where the system resides is authorized based on position or role." + }, + { + "name": "assessment-objective", + "id": "PES-02.1_PES-02.1_A02", + "prose": "physical access restrictions associated with changes to the system are defined and documented." + }, + { + "name": "assessment-objective", + "id": "PES-02.1_PES-02.1_A03", + "prose": "the frequency at which to review the access list detailing authorized facility access by individuals is defined." + }, + { + "name": "assessment-objective", + "id": "PES-02.1_PES-02.1_A04", + "prose": "authorization credentials for facility access are issued." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss05.05" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.15" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.18" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_9.1.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.15" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:pe-2-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pe-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.310-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pe-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pe-2-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:pe-2-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:pe-2-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.10.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.08.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.08.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.10.01.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.10.01.d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.04.05-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.10.01.odp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.10.01.b" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.aa-06" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.3.11" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.3.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.3.11" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_9.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_9.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_9.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.3.11" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.3.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.3.11" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.3.1.1" + }, + { + "rel": "part-of", + "href": "#PES-02" + } + ] + }, + { + "id": "PES-02.2", + "title": "Dual Authorization for Physical Access", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to enforce a \"two-person rule\" for physical access by requiring two authorized individuals with separate access cards, keys or PINs, to access highly-sensitive areas (e.g., safe, high-security cage, etc.)." + }, + { + "name": "assessment-objective", + "id": "PES-02.2_PES-02.2_A01", + "prose": "a \"two-person rule\" is enforced for physical access by requiring two authorized individuals with separate access cards, keys or PINs, to access highly-sensitive areas (e.g., safe, high-security cage, etc.)." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#PES-02" + } + ] + }, + { + "id": "PES-03", + "title": "Physical Access Control", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "PES-03" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Physical access control mechanisms exist to enforce physical access authorizations for all physical access points (including designated entry/exit points) to facilities (excluding those areas within the facility officially designated as publicly accessible)." + }, + { + "name": "assessment-objective", + "id": "PES-03_PES-03_A01", + "prose": "physical access controls to control access to areas within the facility designated as publicly accessible are defined." + }, + { + "name": "assessment-objective", + "id": "PES-03_PES-03_A02", + "prose": "physical access authorizations are enforced at entry and exit points to the facility where the system resides by controlling ingress and egress with physical access control systems, devices, or guards." + }, + { + "name": "assessment-objective", + "id": "PES-03_PES-03_A03", + "prose": "entry and exit points to the facility in which the system resides are defined." + }, + { + "name": "assessment-objective", + "id": "PES-03_PES-03_A04", + "prose": "entry or exit points for which physical access logs are maintained are defined." + }, + { + "name": "assessment-objective", + "id": "PES-03_PES-03_A05", + "prose": "physical access devices are identified." + }, + { + "name": "assessment-objective", + "id": "PES-03_PES-03_A06", + "prose": "physical access devices are controlled." + }, + { + "name": "assessment-objective", + "id": "PES-03_PES-03_A07", + "prose": "physical access devices are managed." + }, + { + "name": "assessment-objective", + "id": "PES-03_PES-03_A08", + "prose": "circumstances requiring visitor escorts and control of visitor activity are defined." + }, + { + "name": "assessment-objective", + "id": "PES-03_PES-03_A09", + "prose": "physical access devices to be inventoried are defined." + }, + { + "name": "assessment-objective", + "id": "PES-03_PES-03_A10", + "prose": "frequency at which to inventory physical access devices is defined." + }, + { + "name": "assessment-objective", + "id": "PES-03_PES-03_A11", + "prose": "frequency at which to change combinations is defined." + }, + { + "name": "assessment-objective", + "id": "PES-03_PES-03_A12", + "prose": "frequency at which to change keys is defined." + }, + { + "name": "assessment-objective", + "id": "PES-03_PES-03_A13", + "prose": "physical access authorizations are enforced at entry and exit points by controlling ingress and egress to the facility." + }, + { + "name": "assessment-objective", + "id": "PES-03_PES-03_A14", + "prose": "physical access event logs are maintained for entry or exit points." + }, + { + "name": "assessment-objective", + "id": "PES-03_PES-03_A15", + "prose": "access to areas within the facility designated as publicly accessible are maintained by implementing physical access controls." + }, + { + "name": "assessment-objective", + "id": "PES-03_PES-03_A16", + "prose": "visitors are escorted." + }, + { + "name": "assessment-objective", + "id": "PES-03_PES-03_A17", + "prose": "visitor activity is controlled circumstances." + }, + { + "name": "assessment-objective", + "id": "PES-03_PES-03_A18", + "prose": "physical access devices are inventoried frequently." + }, + { + "name": "assessment-objective", + "id": "PES-03_PES-03_A19", + "prose": "combinations are changed frequently, when combinations are compromised or when individuals possessing the combinations are transferred or terminated." + }, + { + "name": "assessment-objective", + "id": "PES-03_PES-03_A20", + "prose": "keys are changed frequency, when keys are lost or when individuals possessing the keys are transferred or terminated." + }, + { + "name": "assessment-objective", + "id": "PES-03_PES-03_A21", + "prose": "the frequency at which to perform security checks at the physical perimeter of the facility or system for exfiltration of information or removal of system components is defined." + }, + { + "name": "assessment-objective", + "id": "PES-03_PES-03_A22", + "prose": "security checks are performed C at the physical perimeter of the facility or system for exfiltration of information or removal of system components." + }, + { + "name": "assessment-objective", + "id": "PES-03_PES-03_A23", + "prose": "physical access points to the facility where the system resides are defined." + }, + { + "name": "assessment-objective", + "id": "PES-03_PES-03_A24", + "prose": "guards are employed to control physical access points to the facility where the system resides 24 hours per day, 7 days per week." + }, + { + "name": "assessment-objective", + "id": "PES-03_PES-03_A25", + "prose": "physical access restrictions associated with changes to the system are enforced." + }, + { + "name": "assessment-objective", + "id": "PES-03_PES-03_A26", + "prose": "keys, combinations, and other physical access devices are secured." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss05.05" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dcs-08" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:phy-01" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.15" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.18" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_7.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_7.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_9.1.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_11.1.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.15" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.18" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_7.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_7.4" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:pr.ac-p2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:pe-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:pe-3-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:pe-3-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pe-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pe-03-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pe-03-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:pe-03" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.310-a" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.310-c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pe-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pe-03-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pe-03-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pe-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pe-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pe-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pe-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pe-3-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:pe-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:pe-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:pe-3-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:pe-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:pe-3-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.10.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.10.5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.10.02.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.10.07.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.10.07.a.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.10.07.a.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.10.07.d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.10.5-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.10.5-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.10.5-c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.04.05-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.10.07.a.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.10.07.d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.1.2e" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.aa" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.aa-06" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:de.cm-02" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_9.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_9.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_9.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.2.1" + } + ] + }, + { + "id": "PES-03.1", + "title": "Controlled Ingress & Egress Points", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "PES-03.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Physical access control mechanisms exist to limit and monitor physical access through controlled ingress and egress points." + }, + { + "name": "assessment-objective", + "id": "PES-03.1_PES-03.1_A01", + "prose": "physical access control mechanisms limit physical access through controlled ingress and egress points." + }, + { + "name": "assessment-objective", + "id": "PES-03.1_PES-03.1_A02", + "prose": "physical access control mechanisms monitor physical access through controlled ingress and egress points." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss05.05" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dcs-08" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_7.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_7.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_7.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_7.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.10.02.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.10.07.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.10.07.a.02" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_9.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_9.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_9.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.3.1" + }, + { + "rel": "part-of", + "href": "#PES-03" + } + ] + }, + { + "id": "PES-03.2", + "title": "Lockable Physical Casings", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Physical access control mechanisms exist to protect system components from unauthorized physical access (e.g., lockable physical casings)." + }, + { + "name": "assessment-objective", + "id": "PES-03.2_PES-03.2_A01", + "prose": "system components to be protected from unauthorized physical access are defined." + }, + { + "name": "assessment-objective", + "id": "PES-03.2_PES-03.2_A02", + "prose": "lockable physical casings are used to protect system components from unauthorized access." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:pe-3-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-7-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pe-03-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-07-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sc-07-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pe-03-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-07-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sc-7-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sc-7-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sc-7-14" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.2.4" + }, + { + "rel": "part-of", + "href": "#PES-03" + } + ] + }, + { + "id": "PES-03.3", + "title": "Physical Access Logs", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "PES-03.3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Physical access control mechanisms generate a log entry for each access attempt through controlled ingress and egress points." + }, + { + "name": "assessment-objective", + "id": "PES-03.3_PES-03.3_A01", + "prose": "physical access audit logs for entry or exit points are maintained." + }, + { + "name": "assessment-objective", + "id": "PES-03.3_PES-03.3_A02", + "prose": "time period for which to maintain visitor access records for the facility where the system resides is defined." + }, + { + "name": "assessment-objective", + "id": "PES-03.3_PES-03.3_A03", + "prose": "visitor access records for the facility where the system resides are maintained for time period." + }, + { + "name": "assessment-objective", + "id": "PES-03.3_PES-03.3_A04", + "prose": "the frequency at which to review visitor access records is defined." + }, + { + "name": "assessment-objective", + "id": "PES-03.3_PES-03.3_A05", + "prose": "visitor access records are reviewed frequently." + }, + { + "name": "assessment-objective", + "id": "PES-03.3_PES-03.3_A06", + "prose": "personnel to whom visitor access records anomalies are reported to is/are defined." + }, + { + "name": "assessment-objective", + "id": "PES-03.3_PES-03.3_A07", + "prose": "visitor access records anomalies are reported to personnel." + }, + { + "name": "assessment-objective", + "id": "PES-03.3_PES-03.3_A08", + "prose": "audit logs of physical access are maintained." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:log-13" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_7.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_11.1.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_7.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:pe-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pe-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:pe-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pe-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pe-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pe-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pe-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.10.4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:nfo-pe-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.10.02.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.10.07.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.10.4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.10.07.b" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:de.cm-02" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.2.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_9.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_9.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_9.2.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_9.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.2.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.2.1.1" + }, + { + "rel": "part-of", + "href": "#PES-03" + } + ] + }, + { + "id": "PES-03.4", + "title": "Access To Critical Systems", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "PES-03.4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Physical access control mechanisms exist to enforce physical access to critical systems or sensitive/regulated data, in addition to the physical access controls for the facility." + }, + { + "name": "assessment-objective", + "id": "PES-03.4_PES-03.4_A01", + "prose": "physical spaces are defined." + }, + { + "name": "assessment-objective", + "id": "PES-03.4_PES-03.4_A02", + "prose": "physical access controls are enforced for the facility at physical spaces." + }, + { + "name": "assessment-objective", + "id": "PES-03.4_PES-03.4_A03", + "prose": "physical access authorizations are enforced." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss05.05" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:pr.ac-p2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:pe-3-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pe-03-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:pe-03-01" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.310-b" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.310-c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pe-03-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pe-03-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pe-3-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:pe-3-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:pe-3-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.10.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.10.07.a.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.10.07.a.02" + }, + { + "rel": "part-of", + "href": "#PES-03" + } + ] + }, + { + "id": "PES-04", + "title": "Physical Security of Offices, Rooms & Facilities", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "PES-04" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to identify systems, equipment and respective operating environments that require limited physical access so that appropriate physical access controls are designed and implemented for offices, rooms and facilities." + }, + { + "name": "assessment-objective", + "id": "PES-04_PES-04_A01", + "prose": "identify systems, equipment and respective operating environments that require limited physical access so that appropriate physical access controls are designed and implemented for offices, rooms and facilities." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss05.05" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dcs-04" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dcs-10" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.15" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_7.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_7.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_7.5" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_7.7" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_9.1.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_11.1.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_11.1.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_11.1.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_11.2.9" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.15" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_7.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_7.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_7.5" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_7.7" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:pr.ac-p2" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.310-b" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.310-c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.10.5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.08.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.08.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.10.07.a.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.10.07.a.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.10.07.d" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.3.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.3.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.3.1.1" + } + ] + }, + { + "id": "PES-04.1", + "title": "Working in Secure Areas", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "PES-04.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Physical security mechanisms exist to allow only authorized personnel access to secure areas." + }, + { + "name": "assessment-objective", + "id": "PES-04.1_PES-04.1_A01", + "prose": "physical security access controls allow only authorized personnel access to secure areas." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dcs-04" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dcs-10" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.15" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_7.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_7.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_7.6" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_9.1.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_11.1.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_11.1.5" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.15" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_7.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_7.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_7.6" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:pr.ac-p2" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.310-c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.08.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.08.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.10.07.a.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.10.07.a.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.10.07.d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.13.4e" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.3.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.3.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.3.1.1" + }, + { + "rel": "part-of", + "href": "#PES-04" + } + ] + }, + { + "id": "PES-04.2", + "title": "Searches", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Physical access control mechanisms exist to inspect personnel and their personal effects (e.g., personal property ordinarily worn or carried by the individual, including vehicles) to prevent the unauthorized exfiltration of data and technology assets." + }, + { + "name": "assessment-objective", + "id": "PES-04.2_PES-04.2_A01", + "prose": "physical security personnel inspect individuals and their personal effects (e.g., personal property ordinarily worn or carried by the individual, including vehicles) to prevent the unauthorized exfiltration of data and technology assets." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "part-of", + "href": "#PES-04" + } + ] + }, + { + "id": "PES-04.3", + "title": "Temporary Storage", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Physical access control mechanisms exist to temporarily store undelivered packages or deliveries in a dedicated, secure area (e.g., security cage, secure room) that is locked, access-controlled and monitored with surveillance cameras and/or security guards." + }, + { + "name": "assessment-objective", + "id": "PES-04.3_PES-04.3_A01", + "prose": "physical security personnel temporarily store undelivered packages or deliveries in a dedicated, secure area (e.g., security cage, secure room) that is locked, access-controlled and monitored with surveillance cameras and/or security guards." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#PES-04" + } + ] + }, + { + "id": "PES-05", + "title": "Monitoring Physical Access", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "PES-05" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Physical access control mechanisms exist to monitor for, detect and respond to physical security incidents." + }, + { + "name": "assessment-objective", + "id": "PES-05_PES-05_A01", + "prose": "the frequency at which to review physical access logs is defined." + }, + { + "name": "assessment-objective", + "id": "PES-05_PES-05_A02", + "prose": "events or potential indications of events requiring physical access logs to be reviewed are defined." + }, + { + "name": "assessment-objective", + "id": "PES-05_PES-05_A03", + "prose": "physical access to the facility where the system resides is monitored to detect physical security incidents." + }, + { + "name": "assessment-objective", + "id": "PES-05_PES-05_A04", + "prose": "physical access logs are reviewed per an organization-defined frequency." + }, + { + "name": "assessment-objective", + "id": "PES-05_PES-05_A05", + "prose": "physical access logs are reviewed upon occurrence of organization-defined events or potential indicators of events." + }, + { + "name": "assessment-objective", + "id": "PES-05_PES-05_A06", + "prose": "results of reviews are coordinated with organizational incident response capabilities." + }, + { + "name": "assessment-objective", + "id": "PES-05_PES-05_A07", + "prose": "results of investigations are coordinated with organizational incident response capabilities." + }, + { + "name": "assessment-objective", + "id": "PES-05_PES-05_A08", + "prose": "physical security incidents are responded to." + }, + { + "name": "assessment-objective", + "id": "PES-05_PES-05_A09", + "prose": "physical access logs are reviewed ." + }, + { + "name": "assessment-objective", + "id": "PES-05_PES-05_A10", + "prose": "physical access logs are reviewed upon occurrence of ." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dcs-10" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dcs-11" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:phy-01" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_7.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_7.4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:pe-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pe-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:pe-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pe-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pe-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pe-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pe-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:pe-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pe-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:pe-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:pe-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:pe-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:pe-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.10.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.10.02.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.10.02.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.10.2-c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.10.2-d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.10.02.odp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.10.02.odp-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.10.02.a-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.10.02.a-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.10.02.b-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.10.02.b-02" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:de.cm-02" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.2.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_9.2.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.2.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.2.1.1" + } + ] + }, + { + "id": "PES-05.1", + "title": "Intrusion Alarms / Surveillance Equipment", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "PES-05.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Physical access control mechanisms exist to monitor physical intrusion alarms and surveillance equipment." + }, + { + "name": "assessment-objective", + "id": "PES-05.1_PES-05.1_A01", + "prose": "physical access to the facility where the system resides is monitored using physical intrusion alarms." + }, + { + "name": "assessment-objective", + "id": "PES-05.1_PES-05.1_A02", + "prose": "physical access to the facility where the system resides is monitored using physical surveillance equipment." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dcs-11" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:phy-01" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_7.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_7.4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:pe-6-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pe-06-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:pe-06-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pe-06-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pe-06-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pe-06-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.10.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:nfo-pe-6-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.10.02.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.10.02.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.10.2-c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.10.2-d" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.2.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_9.2.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.2.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.2.1.1" + }, + { + "rel": "part-of", + "href": "#PES-05" + } + ] + }, + { + "id": "PES-05.2", + "title": "Monitoring Physical Access To Critical Systems", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "PES-05.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Facility security mechanisms exist to monitor physical access to critical systems or sensitive/regulated data, in addition to the physical access monitoring of the facility." + }, + { + "name": "assessment-objective", + "id": "PES-05.2_PES-05.2_A01", + "prose": "physical spaces containing one or more components of the system are defined." + }, + { + "name": "assessment-objective", + "id": "PES-05.2_PES-05.2_A02", + "prose": "physical access to the system is monitored in addition to the physical access monitoring of the facility at physical spaces." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:phy-01" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_7.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_7.4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:pe-6-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pe-06-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:pe-06-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pe-06-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pe-06-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pe-06-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:pe-06-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.10.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.10.02.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.10.02.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.10.2-c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.10.2-d" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.2.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_9.2.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.2.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.2.1.1" + }, + { + "rel": "part-of", + "href": "#PES-05" + } + ] + }, + { + "id": "PES-06", + "title": "Visitor Control", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "PES-06" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Physical access control mechanisms exist to identify, authorize and monitor visitors before allowing access to the facility (other than areas designated as publicly accessible)." + }, + { + "name": "assessment-objective", + "id": "PES-06_PES-06_A01", + "prose": "visitors are escorted." + }, + { + "name": "assessment-objective", + "id": "PES-06_PES-06_A02", + "prose": "visitor activity is controlled." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_7.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_11.1.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_7.2" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.310-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.10.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.10.02.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.10.07.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.10.3-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.10.3-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.10.07.c-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.10.07.c-02" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.3.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.3.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.3.4" + } + ] + }, + { + "id": "PES-06.1", + "title": "Distinguish Visitors from On-Site Personnel", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "PES-06.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Physical access control mechanisms exist to easily distinguish between onsite personnel and visitors, especially in areas where sensitive/regulated data is accessible." + }, + { + "name": "assessment-objective", + "id": "PES-06.1_PES-06.1_A01", + "prose": "physical access control mechanisms distinguish between onsite personnel and visitors, especially in areas where sensitive / regulated data is accessible." + }, + { + "name": "assessment-objective", + "id": "PES-06.1_PES-06.1_A02", + "prose": "visitors are escorted." + }, + { + "name": "assessment-objective", + "id": "PES-06.1_PES-06.1_A03", + "prose": "visitor activity is controlled." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.10.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.10.02.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.10.07.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.10.3-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.10.3-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.10.07.c-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.10.07.c-02" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.3.2" + }, + { + "rel": "part-of", + "href": "#PES-06" + } + ] + }, + { + "id": "PES-06.2", + "title": "Identification Requirement", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "PES-06.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Physical access control mechanisms exist to requires at least one(1) form of government-issued or organization-issued photo identification to authenticate individuals before they can gain access to the facility." + }, + { + "name": "assessment-objective", + "id": "PES-06.2_PES-06.2_A01", + "prose": "a list of acceptable forms of identification for visitor access to the facility where the system resides is defined." + }, + { + "name": "assessment-objective", + "id": "PES-06.2_PES-06.2_A02", + "prose": "two forms of identification are required from list of acceptable forms of identification for visitor access to the facility where the system resides." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:pe-2-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pe-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pe-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.10.07.c" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.3.2" + }, + { + "rel": "part-of", + "href": "#PES-06" + } + ] + }, + { + "id": "PES-06.3", + "title": "Restrict Unescorted Access", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "PES-06.3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Physical access control mechanisms exist to restrict unescorted access to facilities to personnel with required security clearances, formal access authorizations and validate the need for access." + }, + { + "name": "assessment-objective", + "id": "PES-06.3_PES-06.3_A01", + "prose": "visitor activity is controlled." + }, + { + "name": "assessment-objective", + "id": "PES-06.3_PES-06.3_A02", + "prose": "unescorted access to the facility where the system resides is restricted." + }, + { + "name": "assessment-objective", + "id": "PES-06.3_PES-06.3_A03", + "prose": "visitor activity is monitored." + }, + { + "name": "assessment-objective", + "id": "PES-06.3_PES-06.3_A04", + "prose": "visitors are escorted." + }, + { + "name": "assessment-objective", + "id": "PES-06.3_PES-06.3_A05", + "prose": "physical access authorizations for unescorted access to the facility where the system resides are defined." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:pe-2-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pe-02-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pe-02-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.10.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.10.07.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.10.3-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.10.3-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.10.07.c-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.10.07.c-02" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.3.2" + }, + { + "rel": "part-of", + "href": "#PES-06" + } + ] + }, + { + "id": "PES-06.4", + "title": "Automated Records Management & Review", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to facilitate the maintenance and review of visitor access records." + }, + { + "name": "assessment-objective", + "id": "PES-06.4_PES-06.4_A01", + "prose": "automated mechanisms used to maintain visitor access records are defined." + }, + { + "name": "assessment-objective", + "id": "PES-06.4_PES-06.4_A02", + "prose": "automated mechanisms used to review visitor access records are defined." + }, + { + "name": "assessment-objective", + "id": "PES-06.4_PES-06.4_A03", + "prose": "visitor access records are maintained using automated mechanisms." + }, + { + "name": "assessment-objective", + "id": "PES-06.4_PES-06.4_A04", + "prose": "visitor access records are reviewed using automated mechanisms." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:pe-8-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pe-08-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:pe-08-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pe-08-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pe-08-01" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.3.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.3.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.3.4" + }, + { + "rel": "part-of", + "href": "#PES-06" + } + ] + }, + { + "id": "PES-06.5", + "title": "Minimize Visitor Personal Data (PD)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to minimize the collection of Personal Data (PD) contained in visitor access records." + }, + { + "name": "assessment-objective", + "id": "PES-06.5_PES-06.5_A01", + "prose": "elements identified in the privacy risk assessment to limit Personal Data (PD) contained in visitor access logs are defined." + }, + { + "name": "assessment-objective", + "id": "PES-06.5_PES-06.5_A02", + "prose": "Personal Data (PD) contained in visitor access records is limited to elements identified in the privacy risk assessment." + }, + { + "name": "assessment-objective", + "id": "PES-06.5_PES-06.5_A03", + "prose": "processes that implement the privacy principle of minimization are defined." + }, + { + "name": "assessment-objective", + "id": "PES-06.5_PES-06.5_A04", + "prose": "the privacy principle of minimization is implemented using organization-defined processes." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pe-08-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pm-25" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-08-33" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pe-08-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pm-25" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sa-08-33" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pe-08-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pm-25" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-08-33" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pm-25" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pm-25" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pm-25" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pm-25" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:pm-25" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.3.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.3.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.3.4" + }, + { + "rel": "part-of", + "href": "#PES-06" + } + ] + }, + { + "id": "PES-06.6", + "title": "Visitor Access Revocation", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "PES-06.6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure visitor badges, or other issued identification, are surrendered before visitors leave the facility or are deactivated at a pre-determined time/date of expiration." + }, + { + "name": "assessment-objective", + "id": "PES-06.6_PES-06.6_A01", + "prose": "visitor badges, or other issued identification, are surrendered before visitors leave the facility or are deactivated at a pre-determined time/date of expiration." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.10.07.c" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.3.3" + }, + { + "rel": "part-of", + "href": "#PES-06" + } + ] + }, + { + "id": "PES-07", + "title": "Supporting Utilities", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "PES-07" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Facility security mechanisms exist to protect power equipment and power cabling for the system from damage and destruction." + }, + { + "name": "assessment-objective", + "id": "PES-07_PES-07_A01", + "prose": "power equipment for the system is protected from damage and destruction." + }, + { + "name": "assessment-objective", + "id": "PES-07_PES-07_A02", + "prose": "power cabling for the system is protected from damage and destruction." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss01.04" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dcs-14" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dcs-15" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_7.11" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_7.12" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_11.2.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_11.2.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_7.11" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_7.12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:pe-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pe-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:pe-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pe-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pe-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pe-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.10.08" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ir-02" + } + ] + }, + { + "id": "PES-07.1", + "title": "Automatic Voltage Controls", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Facility security mechanisms exist to utilize automatic voltage controls for critical system components." + }, + { + "name": "assessment-objective", + "id": "PES-07.1_PES-07.1_A01", + "prose": "the critical system components that require automatic voltage controls are defined." + }, + { + "name": "assessment-objective", + "id": "PES-07.1_PES-07.1_A02", + "prose": "automatic voltage controls for critical system components are employed." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss01.04" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dcs-14" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_7.11" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_11.2.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_7.11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:pe-9-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pe-09-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pe-09-02" + }, + { + "rel": "part-of", + "href": "#PES-07" + } + ] + }, + { + "id": "PES-07.2", + "title": "Emergency Shutoff", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Facility security mechanisms exist to shut off power in emergency situations by:\r\n(1) Placing emergency shutoff switches or devices in close proximity to systems or system components to facilitate safe and easy access for personnel; and\r\n(2) Protecting emergency power shutoff capability from unauthorized activation." + }, + { + "name": "assessment-objective", + "id": "PES-07.2_PES-07.2_A01", + "prose": "system or individual system components that require the capability to shut off power in emergency situations is/are defined." + }, + { + "name": "assessment-objective", + "id": "PES-07.2_PES-07.2_A02", + "prose": "location of emergency shutoff switches or devices by system or system component is defined." + }, + { + "name": "assessment-objective", + "id": "PES-07.2_PES-07.2_A03", + "prose": "the capability to shut off power to system or individual system components in emergency situations is provided." + }, + { + "name": "assessment-objective", + "id": "PES-07.2_PES-07.2_A04", + "prose": "emergency shutoff switches or devices are placed in location to facilitate access for authorized personnel." + }, + { + "name": "assessment-objective", + "id": "PES-07.2_PES-07.2_A05", + "prose": "the emergency power shutoff capability is protected from unauthorized activation." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss01.04" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dcs-14" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_7.11" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_11.2.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_7.11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:pe-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pe-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:pe-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pe-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pe-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pe-10" + }, + { + "rel": "part-of", + "href": "#PES-07" + } + ] + }, + { + "id": "PES-07.3", + "title": "Emergency Power", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Facility security mechanisms exist to supply alternate power, capable of maintaining minimally-required operational capability, in the event of an extended loss of the primary power source." + }, + { + "name": "assessment-objective", + "id": "PES-07.3_PES-07.3_A01", + "prose": "an uninterruptible power supply is provided to facilitate selected organization-defined values in the event of a primary power source loss." + }, + { + "name": "assessment-objective", + "id": "PES-07.3_PES-07.3_A02", + "prose": "an alternate power supply provided for the system is activated upon organization-defined criteria." + }, + { + "name": "assessment-objective", + "id": "PES-07.3_PES-07.3_A03", + "prose": "the alternate power supply provided for the system can maintain minimally required operational capability in the event of an extended loss of the primary power source." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss01.04" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dcs-14" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-7.5" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_7.11" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_11.2.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_7.11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:pe-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:pe-11-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:pe-11-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pe-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pe-11-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pe-11-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:pe-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:pe-11-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pe-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pe-11-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pe-11-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pe-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pe-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pe-11-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:pe-11-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:pe-11-02" + }, + { + "rel": "part-of", + "href": "#PES-07" + } + ] + }, + { + "id": "PES-07.4", + "title": "Emergency Lighting", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Facility security mechanisms exist to utilize and maintain automatic emergency lighting that activates in the event of a power outage or disruption and that covers emergency exits and evacuation routes within the facility." + }, + { + "name": "assessment-objective", + "id": "PES-07.4_PES-07.4_A01", + "prose": "automatic emergency lighting that activates in the event of a power outage or disruption is employed for the system." + }, + { + "name": "assessment-objective", + "id": "PES-07.4_PES-07.4_A02", + "prose": "automatic emergency lighting that activates in the event of a power outage or disruption is maintained for the system." + }, + { + "name": "assessment-objective", + "id": "PES-07.4_PES-07.4_A03", + "prose": "automatic emergency lighting for the system covers emergency exits within the facility." + }, + { + "name": "assessment-objective", + "id": "PES-07.4_PES-07.4_A04", + "prose": "automatic emergency lighting for the system covers evacuation routes within the facility." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss01.04" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dcs-14" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_7.11" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_11.2.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_7.11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:pe-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pe-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:pe-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pe-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pe-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pe-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pe-12" + }, + { + "rel": "part-of", + "href": "#PES-07" + } + ] + }, + { + "id": "PES-07.5", + "title": "Water Damage Protection", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "PES-07.5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Facility security mechanisms exist to protect systems from damage resulting from water leakage by providing master shutoff valves that are accessible, working properly and known to key personnel." + }, + { + "name": "assessment-objective", + "id": "PES-07.5_PES-07.5_A01", + "prose": "the system is protected from damage resulting from water leakage by providing master shutoff or isolation valves." + }, + { + "name": "assessment-objective", + "id": "PES-07.5_PES-07.5_A02", + "prose": "the master shutoff or isolation valves are accessible." + }, + { + "name": "assessment-objective", + "id": "PES-07.5_PES-07.5_A03", + "prose": "the master shutoff or isolation valves are working properly." + }, + { + "name": "assessment-objective", + "id": "PES-07.5_PES-07.5_A04", + "prose": "the master shutoff or isolation valves are known to key personnel." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss01.04" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dcs-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:pe-15" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pe-15" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:pe-15" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pe-15" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pe-15" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pe-15" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pe-15" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ir-02" + }, + { + "rel": "part-of", + "href": "#PES-07" + } + ] + }, + { + "id": "PES-07.6", + "title": "Automation Support for Water Damage Protection", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Facility security mechanisms exist to detect the presence of water in the vicinity of critical systems and alert facility maintenance and IT personnel." + }, + { + "name": "assessment-objective", + "id": "PES-07.6_PES-07.6_A01", + "prose": "personnel or roles to be alerted when the presence of water is detected near the system is/are defined." + }, + { + "name": "assessment-objective", + "id": "PES-07.6_PES-07.6_A02", + "prose": "automated mechanisms used to detect the presence of water near the system are defined." + }, + { + "name": "assessment-objective", + "id": "PES-07.6_PES-07.6_A03", + "prose": "the presence of water near the system can be detected automatically." + }, + { + "name": "assessment-objective", + "id": "PES-07.6_PES-07.6_A04", + "prose": "organization-defined personnel or roles is/are alerted using organization-defined automated mechanisms." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss01.04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:pe-15-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pe-15-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:pe-15-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pe-15-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pe-15-01" + }, + { + "rel": "part-of", + "href": "#PES-07" + } + ] + }, + { + "id": "PES-07.7", + "title": "Redundant Cabling", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to employ redundant power cabling paths that are physically separated to ensure that power continues to flow in the event one of the cables is cut or otherwise damaged." + }, + { + "name": "assessment-objective", + "id": "PES-07.7_PES-07.7_A01", + "prose": "distance by which redundant power cabling paths are to be physically separated is defined." + }, + { + "name": "assessment-objective", + "id": "PES-07.7_PES-07.7_A02", + "prose": "redundant power cabling paths that are physically separated by organization-defined distance are employed." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:pe-9-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pe-09-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pe-09-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:pe-09-01" + }, + { + "rel": "part-of", + "href": "#PES-07" + } + ] + }, + { + "id": "PES-08", + "title": "Fire Protection", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "PES-08" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Facility security mechanisms exist to utilize and maintain fire suppression and detection devices/systems for the system that are supported by an independent energy source." + }, + { + "name": "assessment-objective", + "id": "PES-08_PES-08_A01", + "prose": "fire detection systems are employed." + }, + { + "name": "assessment-objective", + "id": "PES-08_PES-08_A02", + "prose": "employed fire detection systems are supported by an independent energy source." + }, + { + "name": "assessment-objective", + "id": "PES-08_PES-08_A03", + "prose": "employed fire detection systems are maintained." + }, + { + "name": "assessment-objective", + "id": "PES-08_PES-08_A04", + "prose": "fire suppression systems are employed." + }, + { + "name": "assessment-objective", + "id": "PES-08_PES-08_A05", + "prose": "employed fire suppression systems are supported by an independent energy source." + }, + { + "name": "assessment-objective", + "id": "PES-08_PES-08_A06", + "prose": "employed fire suppression systems are maintained." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss01.04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:pe-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pe-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:pe-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pe-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pe-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pe-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pe-13" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ir-02" + } + ] + }, + { + "id": "PES-08.1", + "title": "Fire Detection Devices", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Facility security mechanisms exist to utilize and maintain fire detection devices/systems that activate automatically and notify organizational personnel and emergency responders in the event of a fire." + }, + { + "name": "assessment-objective", + "id": "PES-08.1_PES-08.1_A01", + "prose": "personnel or roles to be notified in the event of a fire is/are defined." + }, + { + "name": "assessment-objective", + "id": "PES-08.1_PES-08.1_A02", + "prose": "emergency responders to be notified in the event of a fire are defined." + }, + { + "name": "assessment-objective", + "id": "PES-08.1_PES-08.1_A03", + "prose": "fire detection systems that activate automatically are employed in the event of a fire." + }, + { + "name": "assessment-objective", + "id": "PES-08.1_PES-08.1_A04", + "prose": "fire detection systems that notify organization-defined personnel or roles automatically are employed in the event of a fire." + }, + { + "name": "assessment-objective", + "id": "PES-08.1_PES-08.1_A05", + "prose": "fire detection systems that notify organization-defined emergency responders automatically are employed in the event of a fire." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss01.04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:pe-13-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pe-13-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:pe-13-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pe-13-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pe-13-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pe-13-01" + }, + { + "rel": "part-of", + "href": "#PES-08" + } + ] + }, + { + "id": "PES-08.2", + "title": "Fire Suppression Devices", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Facility security mechanisms exist to utilize fire suppression devices/systems that provide automatic notification of any activation to organizational personnel and emergency responders." + }, + { + "name": "assessment-objective", + "id": "PES-08.2_PES-08.2_A01", + "prose": "fire suppression systems that notify organization-defined personnel or roles automatically are employed." + }, + { + "name": "assessment-objective", + "id": "PES-08.2_PES-08.2_A02", + "prose": "fire suppression systems that notify organization-defined emergency responders automatically are employed." + }, + { + "name": "assessment-objective", + "id": "PES-08.2_PES-08.2_A03", + "prose": "personnel or roles to be notified in the event of a fire is/are defined." + }, + { + "name": "assessment-objective", + "id": "PES-08.2_PES-08.2_A04", + "prose": "emergency responders to be notified in the event of a fire are defined." + }, + { + "name": "assessment-objective", + "id": "PES-08.2_PES-08.2_A05", + "prose": "fire suppression systems that activate automatically are employed." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss01.04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:pe-13-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pe-13-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pe-13-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:pe-13-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pe-13-02" + }, + { + "rel": "part-of", + "href": "#PES-08" + } + ] + }, + { + "id": "PES-08.3", + "title": "Automatic Fire Suppression", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Facility security mechanisms exist to employ an automatic fire suppression capability for critical systems when the facility is not staffed on a continuous basis." + }, + { + "name": "assessment-objective", + "id": "PES-08.3_PES-08.3_A01", + "prose": "an automatic fire suppression capability is employed when the facility is not staffed on a continuous basis." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:respond" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss01.04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:pe-13-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pe-13-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pe-13-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:pe-13-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pe-13-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pe-13-02" + }, + { + "rel": "part-of", + "href": "#PES-08" + } + ] + }, + { + "id": "PES-09", + "title": "Temperature & Humidity Controls", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "PES-09" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Facility security mechanisms exist to maintain and monitor temperature and humidity levels within the facility." + }, + { + "name": "assessment-objective", + "id": "PES-09_PES-09_A01", + "prose": "environmental control(s) for which to maintain a specified level in the facility where the system resides are defined." + }, + { + "name": "assessment-objective", + "id": "PES-09_PES-09_A02", + "prose": "acceptable levels for environmental controls are defined." + }, + { + "name": "assessment-objective", + "id": "PES-09_PES-09_A03", + "prose": "frequency at which to monitor environmental control levels is defined." + }, + { + "name": "assessment-objective", + "id": "PES-09_PES-09_A04", + "prose": "levels are maintained at acceptable levels within the facility where the system resides." + }, + { + "name": "assessment-objective", + "id": "PES-09_PES-09_A05", + "prose": "environmental control levels are monitored frequency." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss01.04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:pe-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pe-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:pe-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pe-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pe-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pe-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pe-14" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ir-02" + } + ] + }, + { + "id": "PES-09.1", + "title": "Monitoring with Alarms / Notifications", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Facility security mechanisms exist to trigger an alarm or notification of temperature and humidity changes that be potentially harmful to personnel or equipment." + }, + { + "name": "assessment-objective", + "id": "PES-09.1_PES-09.1_A01", + "prose": "personnel or roles to be notified by environmental control monitoring when environmental changes are potentially harmful to personnel or equipment is/are defined." + }, + { + "name": "assessment-objective", + "id": "PES-09.1_PES-09.1_A02", + "prose": "environmental control monitoring is employed." + }, + { + "name": "assessment-objective", + "id": "PES-09.1_PES-09.1_A03", + "prose": "personnel or roles are notified when changes are potentially harmful to personnel or equipment." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss01.04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:pe-14-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pe-14-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pe-14-02" + }, + { + "rel": "part-of", + "href": "#PES-09" + } + ] + }, + { + "id": "PES-10", + "title": "Delivery & Removal", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "PES-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Physical security mechanisms exist to isolate information processing facilities from points such as delivery and loading areas and other points to avoid unauthorized access." + }, + { + "name": "assessment-objective", + "id": "PES-10_PES-10_A01", + "prose": "types of system components to be authorized and controlled when entering the facility are defined." + }, + { + "name": "assessment-objective", + "id": "PES-10_PES-10_A02", + "prose": "types of system components to be authorized and controlled when exiting the facility are defined." + }, + { + "name": "assessment-objective", + "id": "PES-10_PES-10_A03", + "prose": "types of system components are authorized and controlled when entering the facility." + }, + { + "name": "assessment-objective", + "id": "PES-10_PES-10_A04", + "prose": "types of system components are authorized and controlled when exiting the facility." + }, + { + "name": "assessment-objective", + "id": "PES-10_PES-10_A05", + "prose": "records of the system components are maintained." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_7.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_11.1.6" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_7.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:pe-16" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pe-16" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:pe-16" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pe-16" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pe-16" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pe-16" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pe-16" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pe-16" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:pe-16" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:pe-16" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:nfo-pe-16" + } + ] + }, + { + "id": "PES-11", + "title": "Alternate Work Site", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "PES-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Physical security mechanisms exist to utilize appropriate management, operational and technical controls at alternate work sites." + }, + { + "name": "assessment-objective", + "id": "PES-11_PES-11_A01", + "prose": "alternate work sites allowed for use by employees are defined." + }, + { + "name": "assessment-objective", + "id": "PES-11_PES-11_A02", + "prose": "security requirements to be employed at alternate work sites are defined." + }, + { + "name": "assessment-objective", + "id": "PES-11_PES-11_A03", + "prose": "alternate work sites allowed for use by employees are determined." + }, + { + "name": "assessment-objective", + "id": "PES-11_PES-11_A04", + "prose": "organization-defined security requirements are employed at alternate work sites." + }, + { + "name": "assessment-objective", + "id": "PES-11_PES-11_A05", + "prose": "the effectiveness of controls at alternate work sites is assessed." + }, + { + "name": "assessment-objective", + "id": "PES-11_PES-11_A06", + "prose": "a means for employees to communicate with cybersecurity / data privacy personnel in case of incidents is provided." + }, + { + "name": "assessment-objective", + "id": "PES-11_PES-11_A07", + "prose": "safeguarding measures for sensitive / regulated data are defined for alternate work sites." + }, + { + "name": "assessment-objective", + "id": "PES-11_PES-11_A08", + "prose": "safeguarding measures for sensitive / regulated data are enforced for alternate work sites." + }, + { + "name": "assessment-objective", + "id": "PES-11_PES-11_A09", + "prose": "the following security requirements are employed at alternate work sites: ." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:pe-17" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pe-17" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:pe-17" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pe-17" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pe-17" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pe-17" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:pe-17" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pe-17" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:pe-17" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.10.6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.10.06.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.10.06.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.10.6-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.10.6-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.10.06.odp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.10.06.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.10.06.b" + } + ] + }, + { + "id": "PES-12", + "title": "Equipment Siting & Protection", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "PES-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Physical security mechanisms exist to locate system components within the facility to minimize potential damage from physical and environmental hazards and to minimize the opportunity for unauthorized access." + }, + { + "name": "assessment-objective", + "id": "PES-12_PES-12_A01", + "prose": "the location or site of the facility where the system resides is planned considering physical and environmental hazards." + }, + { + "name": "assessment-objective", + "id": "PES-12_PES-12_A02", + "prose": "for existing facilities, physical and environmental hazards are considered in the organizational risk management strategy." + }, + { + "name": "assessment-objective", + "id": "PES-12_PES-12_A03", + "prose": "physical and environmental hazards that could result in potential damage to system components within the facility are defined." + }, + { + "name": "assessment-objective", + "id": "PES-12_PES-12_A04", + "prose": "system components are positioned within the facility to minimize potential damage from physical and environmental hazards and to minimize the opportunity for unauthorized access." + }, + { + "name": "assessment-objective", + "id": "PES-12_PES-12_A05", + "prose": "managed interfaces to be protected against unauthorized physical connections are defined." + }, + { + "name": "assessment-objective", + "id": "PES-12_PES-12_A06", + "prose": "managed interfaces are protected against unauthorized physical connections." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dcs-16" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:phy-01" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_7.12" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_7.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_7.5" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_7.8" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_11.1.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_11.2.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_11.2.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_7.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_7.5" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_7.8" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_7.12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:pe-18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:pe-18-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-7-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pe-18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pe-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-07-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pe-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sc-07-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:pe-18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pe-18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pe-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-07-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pe-18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pe-18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pe-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sc-7-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:pe-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:pe-18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:pe-18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:pe-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sc-7-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:pe-18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:pe-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sc-7-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.10.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.10.07.e" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.10.08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.13.4e" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_9.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_9.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.2.4" + } + ] + }, + { + "id": "PES-12.1", + "title": "Transmission Medium Security", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "PES-12.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Physical security mechanisms exist to protect power and telecommunications cabling carrying data or supporting information services from interception, interference or damage." + }, + { + "name": "assessment-objective", + "id": "PES-12.1_PES-12.1_A01", + "prose": "system distribution and transmission lines requiring physical access controls are defined." + }, + { + "name": "assessment-objective", + "id": "PES-12.1_PES-12.1_A02", + "prose": "security controls to be implemented to control physical access to system distribution and transmission lines within the organizational facility are defined." + }, + { + "name": "assessment-objective", + "id": "PES-12.1_PES-12.1_A03", + "prose": "physical access to system distribution and transmission lines within organizational facilities is controlled." + }, + { + "name": "assessment-objective", + "id": "PES-12.1_PES-12.1_A04", + "prose": "managed interfaces to be protected against unauthorized physical connections are defined." + }, + { + "name": "assessment-objective", + "id": "PES-12.1_PES-12.1_A05", + "prose": "managed interfaces are protected against unauthorized physical connections." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dcs-13" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_7.12" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_11.2.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_7.12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:pe-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-7-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pe-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-07-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sc-07-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:pe-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pe-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-07-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pe-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pe-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sc-7-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sc-7-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sc-7-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.10.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.10.08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.10.08" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_9.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_9.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.2.3" + }, + { + "rel": "part-of", + "href": "#PES-12" + } + ] + }, + { + "id": "PES-12.2", + "title": "Access Control for Output Devices", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "PES-12.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Physical security mechanisms exist to restrict access to printers and other system output devices to prevent unauthorized individuals from obtaining the output." + }, + { + "name": "assessment-objective", + "id": "PES-12.2_PES-12.2_A01", + "prose": "output devices that require physical access control to output are defined." + }, + { + "name": "assessment-objective", + "id": "PES-12.2_PES-12.2_A02", + "prose": "physical access to output devices is controlled to prevent unauthorized individuals from obtaining access to sensitive / regulated data." + }, + { + "name": "assessment-objective", + "id": "PES-12.2_PES-12.2_A03", + "prose": "physical access to output devices is controlled to prevent unauthorized individuals from obtaining access to CUI." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss05.06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:pe-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pe-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:pe-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pe-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pe-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pe-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.10.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.10.07.e" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.10.07.e" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_9.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_9.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.2.3" + }, + { + "rel": "part-of", + "href": "#PES-12" + } + ] + }, + { + "id": "PES-13", + "title": "Information Leakage Due To Electromagnetic Signals Emanations", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Facility security mechanisms exist to protect the system from information leakage due to electromagnetic signals emanations." + }, + { + "name": "assessment-objective", + "id": "PES-13_PES-13_A01", + "prose": "the system is protected from information leakage due to electromagnetic signal emanations." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.12" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:pe-19" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pe-19" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pe-19" + } + ] + }, + { + "id": "PES-14", + "title": "Asset Monitoring and Tracking", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Physical security mechanisms exist to employ asset location technologies that track and monitor the location and movement of organization-defined assets within organization-defined controlled areas." + }, + { + "name": "assessment-objective", + "id": "PES-14_PES-14_A01", + "prose": "asset location technologies to be employed to track and monitor the location and movement of assets is defined." + }, + { + "name": "assessment-objective", + "id": "PES-14_PES-14_A02", + "prose": "assets whose location and movement are to be tracked and monitored are defined." + }, + { + "name": "assessment-objective", + "id": "PES-14_PES-14_A03", + "prose": "controlled areas within which asset location and movement are to be tracked and monitored are defined." + }, + { + "name": "assessment-objective", + "id": "PES-14_PES-14_A04", + "prose": "asset location technologies are employed to track and monitor the location and movement of assets within controlled areas." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:pe-20" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pe-20" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pe-20" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pe-20" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:pe-20" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:pe-20" + } + ] + }, + { + "id": "PES-15", + "title": "Electromagnetic Pulse (EMP) Protection", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Physical security mechanisms exist to employ safeguards against Electromagnetic Pulse (EMP) damage for systems and system components." + }, + { + "name": "assessment-objective", + "id": "PES-15_PES-15_A01", + "prose": "protective measures to be employed against electromagnetic pulse damage are defined." + }, + { + "name": "assessment-objective", + "id": "PES-15_PES-15_A02", + "prose": "system and system components requiring protection against electromagnetic pulse damage are defined." + }, + { + "name": "assessment-objective", + "id": "PES-15_PES-15_A03", + "prose": "protective measures are employed against electromagnetic pulse damage for system and system components." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pe-21" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pe-21" + } + ] + }, + { + "id": "PES-16", + "title": "Component Marking", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Physical security mechanisms exist to mark system hardware components indicating the impact or classification level of the information permitted to be processed, stored or transmitted by the hardware component." + }, + { + "name": "assessment-objective", + "id": "PES-16_PES-16_A01", + "prose": "system hardware components to be marked indicating the impact level or classification level of the information permitted to be processed, stored or transmitted by the hardware component are defined." + }, + { + "name": "assessment-objective", + "id": "PES-16_PES-16_A02", + "prose": "system hardware components are marked indicating the impact level or classification level of the information permitted to be processed, stored or transmitted by the hardware component." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pe-22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pe-22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pe-22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pe-22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pe-22" + } + ] + }, + { + "id": "PES-17", + "title": "Proximity Sensor", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to monitor physical proximity to robotic or autonomous platforms to reduce applied force or stop the operation when sensors indicate a potentially dangerous scenario." + }, + { + "name": "assessment-objective", + "id": "PES-17_PES-17_A01", + "prose": "physical proximity to robotic or autonomous platforms is monitored to reduce applied force or stop the operation when sensors indicate a potentially dangerous scenario." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + } + ] + }, + { + "id": "PES-18", + "title": "On-Site Client Segregation", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "PES-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure client-specific sensitive/regulated data is isolated from other data when client-specific sensitive/regulated data is processed or stored within multi-client workspaces." + }, + { + "name": "assessment-objective", + "id": "PES-18_PES-18_A01", + "prose": "client-specific Intellectual Property (IP) is isolated from other data when client-specific IP is processed or stored within multi-client workspaces." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.13.4e" + } + ] + }, + { + "id": "PES-19", + "title": "Physical Access Device Inventories", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to maintain an accurate inventory of all physical access devices (e.g., RFID cards, access fobs, door keys, etc.)." + }, + { + "name": "assessment-objective", + "id": "PES-19_PES-19_A01", + "prose": "the organization's physical access devices (e.g., RFID cards, access fobs and door keys) are identified." + }, + { + "name": "assessment-objective", + "id": "PES-19_PES-19_A02", + "prose": "an accurate inventory of all physical access devices (e.g., RFID cards, access fobs and door keys) is established and maintained." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + } + ] + } + ] + }, + { + "id": "data-privacy", + "title": "Data Privacy", + "controls": [ + { + "id": "PRI-01", + "title": "Data Privacy Program", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "PRI-01" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to facilitate the implementation and operation of data protection controls throughout the data lifecycle to ensure all forms of Personal Data (PD) are processed lawfully, fairly and transparently." + }, + { + "name": "assessment-objective", + "id": "PRI-01_PRI-01_A01", + "prose": "an organization-wide privacy program plan that provides an overview of the agency’s privacy program is developed." + }, + { + "name": "assessment-objective", + "id": "PRI-01_PRI-01_A02", + "prose": "the privacy program plan includes a description of the structure of the privacy program." + }, + { + "name": "assessment-objective", + "id": "PRI-01_PRI-01_A03", + "prose": "the privacy program plan includes a description of the resources dedicated to the privacy program." + }, + { + "name": "assessment-objective", + "id": "PRI-01_PRI-01_A04", + "prose": "the privacy program plan provides an overview of the requirements for the privacy program." + }, + { + "name": "assessment-objective", + "id": "PRI-01_PRI-01_A05", + "prose": "the privacy program plan provides a description of the privacy program management controls in place or planned for meeting the requirements of the privacy program." + }, + { + "name": "assessment-objective", + "id": "PRI-01_PRI-01_A06", + "prose": "the privacy program plan provides a description of common controls in place or planned for meeting the requirements of the privacy program." + }, + { + "name": "assessment-objective", + "id": "PRI-01_PRI-01_A07", + "prose": "the privacy program plan includes the role of the senior organization official for privacy." + }, + { + "name": "assessment-objective", + "id": "PRI-01_PRI-01_A08", + "prose": "the privacy program plan includes the identification and assignment of the roles of other privacy officials and staff and their responsibilities." + }, + { + "name": "assessment-objective", + "id": "PRI-01_PRI-01_A09", + "prose": "the privacy program plan describes management commitment." + }, + { + "name": "assessment-objective", + "id": "PRI-01_PRI-01_A10", + "prose": "the privacy program plan describes compliance." + }, + { + "name": "assessment-objective", + "id": "PRI-01_PRI-01_A11", + "prose": "the privacy program plan describes the strategic goals and objectives of the privacy program." + }, + { + "name": "assessment-objective", + "id": "PRI-01_PRI-01_A12", + "prose": "the privacy program plan reflects coordination among organizational entities responsible for the different aspects of privacy." + }, + { + "name": "assessment-objective", + "id": "PRI-01_PRI-01_A13", + "prose": "the privacy program plan is approved by a senior official with responsibility and accountability for the privacy risk being incurred by organizational operations (including, mission, functions, image and reputation), organizational assets, individuals, other organizations and the Nation." + }, + { + "name": "assessment-objective", + "id": "PRI-01_PRI-01_A14", + "prose": "the privacy program plan is disseminated." + }, + { + "name": "assessment-objective", + "id": "PRI-01_PRI-01_A15", + "prose": "the frequency of updates to the privacy program plan is defined." + }, + { + "name": "assessment-objective", + "id": "PRI-01_PRI-01_A16", + "prose": "the privacy program plan is updated per an organization-defined frequency." + }, + { + "name": "assessment-objective", + "id": "PRI-01_PRI-01_A17", + "prose": "the privacy program plan is updated to address changes in federal privacy laws and policies." + }, + { + "name": "assessment-objective", + "id": "PRI-01_PRI-01_A18", + "prose": "the privacy program plan is updated to address organizational changes." + }, + { + "name": "assessment-objective", + "id": "PRI-01_PRI-01_A19", + "prose": "the privacy program plan is updated to address problems identified during plan implementation or privacy control assessments." + }, + { + "name": "assessment-objective", + "id": "PRI-01_PRI-01_A20", + "prose": "data privacy operations are conducted according to documented policies, standards, procedures and/or other organizational directives." + }, + { + "name": "assessment-objective", + "id": "PRI-01_PRI-01_A21", + "prose": "adequate resources (e.g., people, processes, technologies, data and/or facilities) are provided to support data privacy operations." + }, + { + "name": "assessment-objective", + "id": "PRI-01_PRI-01_A22", + "prose": "responsibility and authority for the performance of data privacy-related activities are assigned to designated personnel." + }, + { + "name": "assessment-objective", + "id": "PRI-01_PRI-01_A23", + "prose": "personnel performing data privacy-related activities have the skills and knowledge needed to perform their assigned duties." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo04.01" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:lgl-04" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.34" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_5.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_5.1.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_7.2.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_18.1.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.34" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_4.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_5.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_6.1.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_6.1.1-a" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_6.1.1-b" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_6.1.3-h" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_6.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_6.2-a" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_6.2-b" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_6.2-c" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_6.2-d" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_6.2-e" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_6.2-f" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_6.2-g" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_6.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_7.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_7.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_7.5.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_7.5.1-a" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_7.5.1-b" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_7.5.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_7.5.3" + }, + { + "rel": "mapped-to", + "href": "#iso-29100-2024:_6.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:map-1.6" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:gv.po-p1" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:gv.po-p5" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:gv.po-p6" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:gv.mt-p" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:ct-p" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:ct.po-p2" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:ct.dm-p" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:ct.dp-p" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:cm.po-p1" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:cm.aw-p" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:pr.po-p9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pm-18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pt-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pm-18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pt-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pm-18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pt-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pm-18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pm-18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pm-18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pm-18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pt-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:pm-18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:pt-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:pm-18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:pt-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:pm-18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:pt-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:pt-1" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.oc-03" + } + ] + }, + { + "id": "PRI-01.1", + "title": "Chief Privacy Officer (CPO)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to appoints a Chief Privacy Officer (CPO) or similar role, with the authority, mission, accountability and resources to coordinate, develop and implement, applicable data privacy requirements and manage data privacy risks through the organization-wide data privacy program." + }, + { + "name": "assessment-objective", + "id": "PRI-01.1_PRI-01.1_A01", + "prose": "a senior organization official for privacy with authority, mission, accountability and resources is appointed." + }, + { + "name": "assessment-objective", + "id": "PRI-01.1_PRI-01.1_A02", + "prose": "the senior organization official for privacy coordinates applicable privacy requirements." + }, + { + "name": "assessment-objective", + "id": "PRI-01.1_PRI-01.1_A03", + "prose": "the senior organization official for privacy develops applicable privacy requirements." + }, + { + "name": "assessment-objective", + "id": "PRI-01.1_PRI-01.1_A04", + "prose": "the senior organization official for privacy implements applicable privacy requirements." + }, + { + "name": "assessment-objective", + "id": "PRI-01.1_PRI-01.1_A05", + "prose": "the senior organization official for privacy manages privacy risks through the organization-wide privacy program." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_5.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_7.2.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_5.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_5.3" + }, + { + "rel": "mapped-to", + "href": "#iso-29100-2024:_6.1" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:gv.po-p3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ar-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pm-19" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pm-19" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pm-19" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pm-19" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pm-19" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pm-19" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pm-19" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:pm-19" + }, + { + "rel": "part-of", + "href": "#PRI-01" + } + ] + }, + { + "id": "PRI-01.2", + "title": "Privacy Act Statements", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to provide additional formal notice to individuals from whom the information is being collected that includes:\r\n(1) Notice of the authority of organizations to collect Personal Data (PD); \r\n(2) Whether providing PD is mandatory or optional; \r\n(3) The principal purpose or purposes for which the PD is to be used; \r\n(4) The intended disclosures or routine uses of the information; and \r\n(5) The consequences of not providing all or some portion of the information requested." + }, + { + "name": "assessment-objective", + "id": "PRI-01.2_PRI-01.2_A01", + "prose": "Privacy Act statements are included on forms that collect information that will be maintained in a Privacy Act system of records or Privacy Act statements are provided on separate forms that can be retained by individuals." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:cm.po-p1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:tr-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pt-05-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pt-05-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pt-05-02" + }, + { + "rel": "part-of", + "href": "#PRI-01" + } + ] + }, + { + "id": "PRI-01.3", + "title": "Dissemination of Data Privacy Program Information", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to: \r\n(1) Ensure that the public has access to information about organizational data privacy activities and can communicate with its Chief Privacy Officer (CPO) or similar role;\r\n(2) Ensure that organizational data privacy practices are publicly available through organizational websites or document repositories; \r\n(3) Utilize publicly facing email addresses and/or phone lines to enable the public to provide feedback and/or direct questions to data privacy office(s) regarding data privacy practices; and\r\n(4) Inform data subjects when changes are made to the privacy notice and the nature of such changes." + }, + { + "name": "assessment-objective", + "id": "PRI-01.3_PRI-01.3_A01", + "prose": "a central resource webpage is maintained on the organization's principal public website." + }, + { + "name": "assessment-objective", + "id": "PRI-01.3_PRI-01.3_A02", + "prose": "the webpage serves as a central source of information about the organization's privacy program." + }, + { + "name": "assessment-objective", + "id": "PRI-01.3_PRI-01.3_A03", + "prose": "the webpage ensures that the public has access to information about organizational privacy activities." + }, + { + "name": "assessment-objective", + "id": "PRI-01.3_PRI-01.3_A04", + "prose": "the webpage ensures that the public can communicate with its senior organization official for privacy." + }, + { + "name": "assessment-objective", + "id": "PRI-01.3_PRI-01.3_A05", + "prose": "the webpage ensures that organizational privacy practices are publicly available." + }, + { + "name": "assessment-objective", + "id": "PRI-01.3_PRI-01.3_A06", + "prose": "the webpage ensures that organizational privacy reports are publicly available." + }, + { + "name": "assessment-objective", + "id": "PRI-01.3_PRI-01.3_A07", + "prose": "the webpage employs publicly facing email addresses and/or phone numbers to enable the public to provide feedback and/or direct questions to privacy offices regarding privacy practices." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_5.1.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_6.2-e" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_7.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_7.5.3-a" + }, + { + "rel": "mapped-to", + "href": "#iso-29100-2024:_6.8" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:gv.po-p1" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:cm.po-p1" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:cm.aw-p1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:tr-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pm-20" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pm-20" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pm-20" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pm-20" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pm-20" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pm-20" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pm-20" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:pm-20" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:pm-20" + }, + { + "rel": "part-of", + "href": "#PRI-01" + } + ] + }, + { + "id": "PRI-01.4", + "title": "Data Protection Officer (DPO)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to appoint a Data Protection Officer (DPO):\r\n(1) Based on professional qualifications; and\r\n(2) To be involved in all issues related to how Personal Data (PD) is collected, received, processed, stored, transmitted, shared, updated and/or disposed." + }, + { + "name": "assessment-objective", + "id": "PRI-01.4_PRI-01.4_A01", + "prose": "a Data Protection Officer (DPO) is appointed based on the basis of professional qualities." + }, + { + "name": "assessment-objective", + "id": "PRI-01.4_PRI-01.4_A02", + "prose": "the role of the Data Protection Officer (DPO) is involved in all issues related to the protection of Personal Data (PD)." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#iso-29100-2024:_6.1" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:gv.po-p3" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:ct.po-p2" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:cm.po-p2" + }, + { + "rel": "part-of", + "href": "#PRI-01" + } + ] + }, + { + "id": "PRI-01.5", + "title": "Binding Corporate Rules (BCR)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to implement and manage Binding Corporate Rules (BCR) (e.g., data sharing agreement) to legally-bind all parties engaged in a joint economic activity that contractually states enforceable rights on data subjects with regard to the processing of their personal data." + }, + { + "name": "assessment-objective", + "id": "PRI-01.5_PRI-01.5_A01", + "prose": "Binding Corporate Rules (BCR) are used to legally-bind all parties engaged in a joint economic activity that contractually states enforceable rights on data subjects with regard to the processing of their Personal Data (PD)." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "part-of", + "href": "#PRI-01" + } + ] + }, + { + "id": "PRI-01.6", + "title": "Security of Personal Data (PD)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure Personal Data (PD) is protected by logical and physical security safeguards that are sufficient and appropriately scoped to protect the confidentiality and integrity of the PD." + }, + { + "name": "assessment-objective", + "id": "PRI-01.6_PRI-01.6_A01", + "prose": "Personal Data (PD) is protected by security safeguards that are sufficient and appropriately scoped to protect the confidentiality and integrity of the PD." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.34" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.34" + }, + { + "rel": "mapped-to", + "href": "#iso-29100-2024:_6.11" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mp-4.1-001" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.9.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.9.1" + }, + { + "rel": "part-of", + "href": "#PRI-01" + } + ] + }, + { + "id": "PRI-01.7", + "title": "Limiting Personal Data (PD) Disclosures", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to limit the disclosure of Personal Data (PD) to authorized parties for the sole purpose for which the PD was obtained." + }, + { + "name": "assessment-objective", + "id": "PRI-01.7_PRI-01.7_A01", + "prose": "the disclosure of Personal Data (PD) is restricted to authorized parties for the sole purpose for which the PD was obtained." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iso-29100-2024:_6.6" + }, + { + "rel": "part-of", + "href": "#PRI-01" + } + ] + }, + { + "id": "PRI-01.8", + "title": "Data Fiduciary", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to appoint an individual to determine the following criteria about Personal Data (PD):\r\n(1) The purpose why PD is necessary; \r\n(2) Authorized methods to collect, receive, process, store, transmit, share, update and/or dispose PD; and\r\n(3) Authorized parties PD may be shared with." + }, + { + "name": "assessment-objective", + "id": "PRI-01.8_PRI-01.8_A01", + "prose": "an individual, or role, is appointed to determine along the purpose and means of processing of Personal Data (PD)." + }, + { + "name": "assessment-objective", + "id": "PRI-01.8_PRI-01.8_A02", + "prose": "the purpose and means of processing of Personal Data (PD) is documented." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:gv.po-p3" + }, + { + "rel": "part-of", + "href": "#PRI-01" + } + ] + }, + { + "id": "PRI-01.9", + "title": "Personal Data (PD) Process Manager", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to assign accountability to a Personal Data Process Manager, or equivalent role, to ensure Personal Data (PD) is collected, received, processed, stored, transmitted, shared, updated and/or disposed of according to data subject consent." + }, + { + "name": "assessment-objective", + "id": "PRI-01.9_PRI-01.9_A01", + "prose": "the role and responsibilities associated with a Personal Data Process Manager are defined." + }, + { + "name": "assessment-objective", + "id": "PRI-01.9_PRI-01.9_A02", + "prose": "accountability is assigned to the Personal Data Process Manager to ensure data is used according to the Data Subject's consent." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#PRI-01" + } + ] + }, + { + "id": "PRI-01.10", + "title": "Financial Incentives For Personal Data (PD)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to strictly govern financial incentives offered to data subjects for Personal Data (PD) to ensure compliance with applicable legal and regulatory requirements." + }, + { + "name": "assessment-objective", + "id": "PRI-01.10_PRI-01.10_A01", + "prose": "any financial incentives offered to data subjects for Personal Data (PD) are reviewed by a Data Protection Officer (DPO), or similar role, to ensure compliance with applicable legal and regulatory requirements." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#PRI-01" + } + ] + }, + { + "id": "PRI-01.11", + "title": "Reasonable Data Privacy Practices", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to limit the collection, receiving, processing, storage, transmission, sharing, updating and/or disposal of Personal Data (PD) according to reasonable consumer expectations for what is necessary and proportionate." + }, + { + "name": "assessment-objective", + "id": "PRI-01.11_PRI-01.11_A01", + "prose": "reasonable consumer expectations are defined for what is necessary and proportionate for collecting, receiving, processing, storage, transmission, sharing, updating and/or disposal of Personal Data (PD)." + }, + { + "name": "assessment-objective", + "id": "PRI-01.11_PRI-01.11_A02", + "prose": "organization-specific practices are defined to limit the collection, receiving, processing, storage, transmission, sharing, updating and/or disposal of Personal Data (PD) according to reasonable consumer expectations for what is necessary and proportionate." + }, + { + "name": "assessment-objective", + "id": "PRI-01.11_PRI-01.11_A03", + "prose": "the collection, receiving, processing, storage, transmission, sharing, updating and/or disposal of Personal Data (PD) is limited to reasonable consumer expectations for what is necessary and proportionate." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dsp-08" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_18.1.4" + }, + { + "rel": "mapped-to", + "href": "#iso-29100-2024:_6.5" + }, + { + "rel": "mapped-to", + "href": "#iso-29100-2024:_6.8" + }, + { + "rel": "mapped-to", + "href": "#iso-29100-2024:_6.1" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:gv.po-p5" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:gv.mt-p3" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:gv.mt-p5" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:ct.po-p1" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:cm.aw-p2" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:cm.aw-p3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-37-r2:task-p-16" + }, + { + "rel": "part-of", + "href": "#PRI-01" + } + ] + }, + { + "id": "PRI-02", + "title": "Data Privacy Notice", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to:\r\n(1) Make data privacy notice(s) available to individuals upon first interacting with an organization and subsequently as necessary; \r\n(2) Ensure that data privacy notices are clear and easy-to-understand, expressing relevant information about how Personal Data (PD) is collected, received, processed, stored, transmitted, shared, updated and/or disposed;\r\n(3) Contain all necessary notice-related criteria required by applicable statutory, regulatory and contractual obligations;\r\n(4) Define the scope of PD processing activities, including the geographic locations and third-party recipients that process the PD within the scope of the data privacy notice;\r\n(5) Periodically, review and update the content of the privacy notice, as necessary; and\r\n(6) Retain prior versions of the privacy notice, in accordance with data retention requirements." + }, + { + "name": "assessment-objective", + "id": "PRI-02_PRI-02_A01", + "prose": "privacy notice(s) are developed and posted on all external-facing websites." + }, + { + "name": "assessment-objective", + "id": "PRI-02_PRI-02_A02", + "prose": "privacy notice(s) are developed and posted on all mobile applications." + }, + { + "name": "assessment-objective", + "id": "PRI-02_PRI-02_A03", + "prose": "privacy notice(s) are developed and posted on all other digital services." + }, + { + "name": "assessment-objective", + "id": "PRI-02_PRI-02_A04", + "prose": "the privacy notice(s) are written in plain language." + }, + { + "name": "assessment-objective", + "id": "PRI-02_PRI-02_A05", + "prose": "the privacy notice(s) are organized in a way that is easy to understand and navigate." + }, + { + "name": "assessment-objective", + "id": "PRI-02_PRI-02_A06", + "prose": "the privacy notice(s) provide the information needed by the public to make an informed decision about whether to interact with the organization." + }, + { + "name": "assessment-objective", + "id": "PRI-02_PRI-02_A07", + "prose": "the privacy notice(s) provide the information needed by the public to make an informed decision about how to interact with the organization." + }, + { + "name": "assessment-objective", + "id": "PRI-02_PRI-02_A08", + "prose": "the privacy notice(s) are updated whenever the organization makes a substantive change to the practices it describes." + }, + { + "name": "assessment-objective", + "id": "PRI-02_PRI-02_A09", + "prose": "the privacy notice(s) include a time/date stamp to inform the public of the date of the most recent changes." + }, + { + "name": "assessment-objective", + "id": "PRI-02_PRI-02_A10", + "prose": "the frequency at which a notice is provided to individuals after initial interaction with an organization is defined." + }, + { + "name": "assessment-objective", + "id": "PRI-02_PRI-02_A11", + "prose": "information to be included with the notice about the processing of Personal Data (PD) is defined." + }, + { + "name": "assessment-objective", + "id": "PRI-02_PRI-02_A12", + "prose": "a notice to individuals about the processing of Personal Data (PD) is provided such that the notice is available to individuals upon first interacting with an organization." + }, + { + "name": "assessment-objective", + "id": "PRI-02_PRI-02_A13", + "prose": "a notice to individuals about the processing of Personal Data (PD) is provided such that the notice is subsequently available to individuals frequency." + }, + { + "name": "assessment-objective", + "id": "PRI-02_PRI-02_A14", + "prose": "a notice to individuals about the processing of Personal Data (PD) is provided that is clear, easy-to-understand and expresses information about Personal Data (PD) processing in plain language." + }, + { + "name": "assessment-objective", + "id": "PRI-02_PRI-02_A15", + "prose": "a notice to individuals about the processing of Personal Data (PD) that identifies the authority that authorizes the processing of Personal Data (PD) is provided." + }, + { + "name": "assessment-objective", + "id": "PRI-02_PRI-02_A16", + "prose": "a notice to individuals about the processing of Personal Data (PD) that identifies the purpose for which Personal Data (PD) is to be processed is provided." + }, + { + "name": "assessment-objective", + "id": "PRI-02_PRI-02_A17", + "prose": "a notice to individuals about the processing of Personal Data (PD) which includes information is provided." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dsp-14" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.34" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.34" + }, + { + "rel": "mapped-to", + "href": "#iso-29100-2024:_6.3" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:cm.po-p1" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:cm.aw-p1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:tr-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:tr-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pm-20-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pt-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pm-20-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pt-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pm-20-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pt-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pm-20-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pm-20-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pm-20-01" + } + ] + }, + { + "id": "PRI-02.1", + "title": "Purpose Specification", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure data privacy notices identify the purpose(s) for which Personal Data (PD) is collected, received, processed, stored, transmitted and/or shared." + }, + { + "name": "assessment-objective", + "id": "PRI-02.1_PRI-02.1_A01", + "prose": "the purpose(s) for processing Personal Data (PD) is/are defined." + }, + { + "name": "assessment-objective", + "id": "PRI-02.1_PRI-02.1_A02", + "prose": "the processing of Personal Data (PD) to be restricted is defined." + }, + { + "name": "assessment-objective", + "id": "PRI-02.1_PRI-02.1_A03", + "prose": "mechanisms to be implemented for ensuring any changes in the processing of Personal Data (PD) are made in accordance with requirements are defined." + }, + { + "name": "assessment-objective", + "id": "PRI-02.1_PRI-02.1_A04", + "prose": "requirements for changing the processing of Personal Data (PD) are defined." + }, + { + "name": "assessment-objective", + "id": "PRI-02.1_PRI-02.1_A05", + "prose": "the purpose(s) for processing Personal Data (PD) is/are identified and documented." + }, + { + "name": "assessment-objective", + "id": "PRI-02.1_PRI-02.1_A06", + "prose": "the purpose(s) is/are described in the public privacy notices of the organization." + }, + { + "name": "assessment-objective", + "id": "PRI-02.1_PRI-02.1_A07", + "prose": "the purpose(s) is/are described in the policies of the organization." + }, + { + "name": "assessment-objective", + "id": "PRI-02.1_PRI-02.1_A08", + "prose": "the processing of Personal Data (PD) is restricted to only that which is compatible with the identified purpose(s)." + }, + { + "name": "assessment-objective", + "id": "PRI-02.1_PRI-02.1_A09", + "prose": "changes in the processing of Personal Data (PD) are monitored." + }, + { + "name": "assessment-objective", + "id": "PRI-02.1_PRI-02.1_A10", + "prose": "mechanisms are implemented to ensure that any changes are made in accordance with requirements." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dsp-12" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.34" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_18.1.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.34" + }, + { + "rel": "mapped-to", + "href": "#iso-29100-2024:_6.3" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:cm.po-p1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ap-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pt-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pt-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pt-03" + }, + { + "rel": "part-of", + "href": "#PRI-02" + } + ] + }, + { + "id": "PRI-02.2", + "title": "Automated Data Management Processes", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to adjust data that is able to be collected, received, processed, stored, transmitted, shared, updated and/or disposed, based on updated data subject authorization(s)." + }, + { + "name": "assessment-objective", + "id": "PRI-02.2_PRI-02.2_A01", + "prose": "automated mechanisms used to manage enforcement of the authorized processing of Personal Data (PD) are defined." + }, + { + "name": "assessment-objective", + "id": "PRI-02.2_PRI-02.2_A02", + "prose": "enforcement of the authorized processing of Personal Data (PD) is managed using automated mechanisms." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pm-24" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pt-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pt-03-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pm-24" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pt-03-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pm-24" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pt-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pt-03-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pm-24" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pm-24" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pm-24" + }, + { + "rel": "part-of", + "href": "#PRI-02" + } + ] + }, + { + "id": "PRI-02.3", + "title": "Computer Matching Agreements (CMA)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to publish Computer Matching Agreements (CMA) on the organization's public website(s)." + }, + { + "name": "assessment-objective", + "id": "PRI-02.3_PRI-02.3_A01", + "prose": "approval to conduct the matching program is obtained from the data integrity board/function when a system or organization processes information for the purpose of conducting a matching program." + }, + { + "name": "assessment-objective", + "id": "PRI-02.3_PRI-02.3_A02", + "prose": "a computer matching agreement is developed when a system or organization processes information for the purpose of conducting a matching program." + }, + { + "name": "assessment-objective", + "id": "PRI-02.3_PRI-02.3_A03", + "prose": "a computer matching agreement is entered into when a system or organization processes information for the purpose of conducting a matching program." + }, + { + "name": "assessment-objective", + "id": "PRI-02.3_PRI-02.3_A04", + "prose": "a matching notice is published in the Federal Register when a system or organization processes information for the purpose of conducting a matching program." + }, + { + "name": "assessment-objective", + "id": "PRI-02.3_PRI-02.3_A05", + "prose": "the information produced by the matching program is independently verified before taking adverse action against an individual, if required, when a system or organization processes information for the purpose of conducting a matching program." + }, + { + "name": "assessment-objective", + "id": "PRI-02.3_PRI-02.3_A06", + "prose": "individuals are provided with notice when a system or organization processes information for the purpose of conducting a matching program." + }, + { + "name": "assessment-objective", + "id": "PRI-02.3_PRI-02.3_A07", + "prose": "individuals are provided with an opportunity to contest the findings before adverse action is taken against them when a system or organization processes information for the purpose of conducting a matching program." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:di-2-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pm-24" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pt-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pm-24" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pt-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pm-24" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pt-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pm-24" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pm-24" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pm-24" + }, + { + "rel": "part-of", + "href": "#PRI-02" + } + ] + }, + { + "id": "PRI-02.4", + "title": "System of Records Notice (SORN)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to draft, publish and keep System of Records Notices (SORN) updated in accordance with regulatory guidance." + }, + { + "name": "assessment-objective", + "id": "PRI-02.4_PRI-02.4_A01", + "prose": "System of Records Notices (SORNs) are drafted in accordance with OMB guidance for systems that process information that will be maintained in a Privacy Act system of records." + }, + { + "name": "assessment-objective", + "id": "PRI-02.4_PRI-02.4_A02", + "prose": "new and significantly modified system of records notices are submitted to the OMB and appropriate congressional committees for advance review for systems that process information that will be maintained in a Privacy Act system of records." + }, + { + "name": "assessment-objective", + "id": "PRI-02.4_PRI-02.4_A03", + "prose": "System of Records Notices (SORNs) are published in the Federal Register for systems that process information that will be maintained in a Privacy Act system of records." + }, + { + "name": "assessment-objective", + "id": "PRI-02.4_PRI-02.4_A04", + "prose": "System of Records Notices (SORNs) are kept accurate, up-to-date and scoped in accordance with policy for systems that process information that will be maintained in a Privacy Act system of records." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:tr-2-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pt-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pt-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pt-06" + }, + { + "rel": "part-of", + "href": "#PRI-02" + } + ] + }, + { + "id": "PRI-02.5", + "title": "System of Records Notice (SORN) Review Process", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to review all routine uses of data published in the System of Records Notices (SORN) to ensure continued accuracy and to ensure that routine uses continue to be compatible with the purpose for which the information was collected." + }, + { + "name": "assessment-objective", + "id": "PRI-02.5_PRI-02.5_A01", + "prose": "the frequency at which to review all routine uses published in the System of Records Notice (SORN) is defined." + }, + { + "name": "assessment-objective", + "id": "PRI-02.5_PRI-02.5_A02", + "prose": "all routine uses published in the system of records notice are reviewed frequently to ensure continued accuracy and to ensure that routine uses continue to be compatible with the purpose for which the information was collected." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pt-06-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pt-06-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pt-06-01" + }, + { + "rel": "part-of", + "href": "#PRI-02" + } + ] + }, + { + "id": "PRI-02.6", + "title": "Privacy Act Exemptions", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to review all Privacy Act exemptions claimed for the System of Records Notices (SORN) to ensure they remain appropriate and accurate." + }, + { + "name": "assessment-objective", + "id": "PRI-02.6_PRI-02.6_A01", + "prose": "the frequency at which to review all Privacy Act exemptions claimed for the system of records is defined." + }, + { + "name": "assessment-objective", + "id": "PRI-02.6_PRI-02.6_A02", + "prose": "all Privacy Act exemptions claimed for the system of records are reviewed frequently to ensure that they remain appropriate and necessary in accordance with law." + }, + { + "name": "assessment-objective", + "id": "PRI-02.6_PRI-02.6_A03", + "prose": "all Privacy Act exemptions claimed for the system of records are reviewed frequently to ensure that they have been promulgated as regulations." + }, + { + "name": "assessment-objective", + "id": "PRI-02.6_PRI-02.6_A04", + "prose": "all Privacy Act exemptions claimed for the system of records are reviewed frequently to ensure that they are accurately described in the system of records notice." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pt-06-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pt-06-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pt-06-02" + }, + { + "rel": "part-of", + "href": "#PRI-02" + } + ] + }, + { + "id": "PRI-02.7", + "title": "Real-Time or Layered Notice", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to provide real-time and/or layered notice when Personal Data (PD) is collected that provides data subjects with a summary of key points or more detailed information that is specific to the organization's data privacy notice." + }, + { + "name": "assessment-objective", + "id": "PRI-02.7_PRI-02.7_A01", + "prose": "real-time and/or layered notices are generated to provide data subjects with a summary of key points or more detailed information that is specific to the organization's privacy notice." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:tr-1-1" + }, + { + "rel": "part-of", + "href": "#PRI-02" + } + ] + }, + { + "id": "PRI-02.8", + "title": "Purpose Compatibility", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to periodically assess disclosed purposes for which Personal Data (PD) is collected, received, processed, stored, transmitted and/or shared to ensure compatibility with reasonable consumer expectations." + }, + { + "name": "assessment-objective", + "id": "PRI-02.8_PRI-02.8_A01", + "prose": "the cadence to periodically assess disclosed purposes for which Personal Data (PD) is collected, received, processed, stored, transmitted and/or shared is defined." + }, + { + "name": "assessment-objective", + "id": "PRI-02.8_PRI-02.8_A02", + "prose": "reasonable consumer expectations for disclosed purposes for which Personal Data (PD) is collected, received, processed, stored, transmitted and/or shared is identified." + }, + { + "name": "assessment-objective", + "id": "PRI-02.8_PRI-02.8_A03", + "prose": "disclosed purposes for which Personal Data (PD) is collected, received, processed, stored, transmitted and/or shared are periodically assessed to ensure compatibility with reasonable consumer expectations." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#PRI-02" + } + ] + }, + { + "id": "PRI-02.9", + "title": "Privacy Notice Formatting", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to reasonably accommodate data privacy notice formatting for consumers requiring alternative formatting due to accessibility needs through:\r\n(1) Screen resolution / screen sizes;\r\n(2) Multilingual support; and/or\r\n(3) Disability-specific concessions." + }, + { + "name": "assessment-objective", + "id": "PRI-02.9_PRI-02.9_A01", + "prose": "reasonable methods to accommodate data privacy notice formatting for consumers requiring alternative formatting due to accessibility needs are defined." + }, + { + "name": "assessment-objective", + "id": "PRI-02.9_PRI-02.9_A02", + "prose": "reasonable methods to accommodate data privacy notice formatting for consumers requiring alternative formatting due to accessibility needs are implemented." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#PRI-02" + } + ] + }, + { + "id": "PRI-02.10", + "title": "Symmetry In Choice", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure symmetry in choice, where options presented to consumers for more protective options are not longer, more difficult, nor more time-consuming than less protective options." + }, + { + "name": "assessment-objective", + "id": "PRI-02.10_PRI-02.10_A01", + "prose": "methods to implement symmetry in choice are identified, where options presented to consumers for more protective options are not longer, more difficult, nor more time-consuming than less protective options." + }, + { + "name": "assessment-objective", + "id": "PRI-02.10_PRI-02.10_A02", + "prose": "symmetry in choice are implemented." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#PRI-02" + } + ] + }, + { + "id": "PRI-02.11", + "title": "Choice Architecture", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to avoid choice architecture that impairs, interferes with or subverts a consumer’s ability to make well-informed choices." + }, + { + "name": "assessment-objective", + "id": "PRI-02.11_PRI-02.11_A01", + "prose": "choice architecture that enables data subjects to make well-informed choices is defined." + }, + { + "name": "assessment-objective", + "id": "PRI-02.11_PRI-02.11_A02", + "prose": "choice architecture that supports data subjects' ability to make well-informed choices is implemented." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#PRI-02" + } + ] + }, + { + "id": "PRI-02.12", + "title": "Choice Architecture Testing", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to perform testing of choice architecture to ensure it does not undermine a consumer’s ability to submit choice selections." + }, + { + "name": "assessment-objective", + "id": "PRI-02.12_PRI-02.12_A01", + "prose": "methods to perform testing of choice architecture to ensure it does not undermine a consumer’s ability to submit choice selections are defined." + }, + { + "name": "assessment-objective", + "id": "PRI-02.12_PRI-02.12_A02", + "prose": "testing of choice architecture is performed to ensure it does not undermine a consumer’s ability to submit choice selections." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#PRI-02" + } + ] + }, + { + "id": "PRI-02.13", + "title": "Notice of Right To Limit", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to include within the data privacy notice a notification to data subjects of:\r\n(1) Their right to limit the use and disclosure of their sensitive Personal Data (sPD); and\r\n(2) The methods available to exercise that right." + }, + { + "name": "assessment-objective", + "id": "PRI-02.13_PRI-02.13_A01", + "prose": "data privacy notices alert data subjects to their right to limit the use and disclosure of their sensitive Personal Data (sPD)." + }, + { + "name": "assessment-objective", + "id": "PRI-02.13_PRI-02.13_A02", + "prose": "data privacy notices alert data subjects to methods available to exercise that right to limit the use and disclosure of their sensitive Personal Data (sPD)." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#PRI-02" + } + ] + }, + { + "id": "PRI-02.14", + "title": "Alternative Means To Deliver Privacy Notice", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to provide data subjects with a data privacy notice through alternative means for interactions that do not utilize an interface on a website or application." + }, + { + "name": "assessment-objective", + "id": "PRI-02.14_PRI-02.14_A01", + "prose": "alternative methods to deliver a data privacy notice are defined." + }, + { + "name": "assessment-objective", + "id": "PRI-02.14_PRI-02.14_A02", + "prose": "alternative methods to deliver a data privacy notice are implemented." + }, + { + "name": "assessment-objective", + "id": "PRI-02.14_PRI-02.14_A03", + "prose": "data subjects are provided with a data privacy notice through alternative means for interactions that do not utilize an interface on a website or application." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#PRI-02" + } + ] + }, + { + "id": "PRI-03", + "title": "Choice & Consent", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to enable data subjects to authorize the collection, receiving, processing, storage, transmission, sharing, updating and/or disposal of their Personal Data (PD), where prior to collection the data subject is provided with:\r\n(1) Plain language to illustrate the potential data privacy risks of the authorization; \r\n(2) A means for users to decline the authorization; and\r\n(3) All necessary choice and consent-related criteria required by applicable statutory, regulatory and contractual obligations." + }, + { + "name": "assessment-objective", + "id": "PRI-03_PRI-03_A01", + "prose": "the tools or mechanisms to be implemented for individuals to consent to the processing of their Personal Data (PD) are defined." + }, + { + "name": "assessment-objective", + "id": "PRI-03_PRI-03_A02", + "prose": "tools or mechanisms are implemented for individuals to consent to the processing of their Personal Data (PD) prior to its collection that facilitates individuals’ informed decision-making." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.33" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_18.1.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.33" + }, + { + "rel": "mapped-to", + "href": "#iso-29100-2024:_6.2" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:ct.po-p1" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:ct.po-p3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ip-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pt-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pt-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pt-04" + } + ] + }, + { + "id": "PRI-03.1", + "title": "Tailored Consent", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to allow data subjects to modify permission to collect, receive, process, store, transmit, share, update and/or dispose selected attributes of their Personal Data (PD)." + }, + { + "name": "assessment-objective", + "id": "PRI-03.1_PRI-03.1_A01", + "prose": "tailoring mechanisms for processing selected elements of Personal Data (PD) permissions are defined." + }, + { + "name": "assessment-objective", + "id": "PRI-03.1_PRI-03.1_A02", + "prose": "mechanisms are provided to allow individuals to tailor processing permissions to selected elements of Personal Data (PD)." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:ct.po-p3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ip-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pt-04-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pt-04-01" + }, + { + "rel": "part-of", + "href": "#PRI-03" + } + ] + }, + { + "id": "PRI-03.2", + "title": "Just-In-Time Notice & Updated Consent", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to present data subjects with a new or updated consent request to collect, receive, process, store, transmit, share, update and/or dispose Personal Data (PD) in conjunction with the data action, when:\r\n(1) The original circumstances under which an individual gave consent have changed; or\r\n(2) A significant amount of time has passed since an individual gave consent." + }, + { + "name": "assessment-objective", + "id": "PRI-03.2_PRI-03.2_A01", + "prose": "consent mechanisms to be presented to individuals are defined." + }, + { + "name": "assessment-objective", + "id": "PRI-03.2_PRI-03.2_A02", + "prose": "the frequency at which to present consent mechanisms to individuals is defined." + }, + { + "name": "assessment-objective", + "id": "PRI-03.2_PRI-03.2_A03", + "prose": "Personal Data (PD) processing to be presented in conjunction with organization-defined consent mechanisms is defined." + }, + { + "name": "assessment-objective", + "id": "PRI-03.2_PRI-03.2_A04", + "prose": "consent mechanisms are presented to individuals frequently and in conjunction with Personal Data (PD) processing." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:ct.po-p1" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:ct.po-p3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pt-04-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pt-05-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pt-04-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pt-05-01" + }, + { + "rel": "part-of", + "href": "#PRI-03" + } + ] + }, + { + "id": "PRI-03.3", + "title": "Prohibition of Selling, Processing and/or Sharing Personal Data (PD)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to prevent the sale, processing and/or sharing of Personal Data (PD) when:\r\n(1) Instructed by the data subject; or\r\n(2) The data subject is a minor, where selling and/or sharing PD is legally prohibited." + }, + { + "name": "assessment-objective", + "id": "PRI-03.3_PRI-03.3_A01", + "prose": "Personal Data (PD) identified as \"do not sell\" by the data subject is identified." + }, + { + "name": "assessment-objective", + "id": "PRI-03.3_PRI-03.3_A02", + "prose": "the sale of Personal Data (PD) identified as \"do not sell\" is prevented anywhere the PD is stored and/or processed." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "part-of", + "href": "#PRI-03" + } + ] + }, + { + "id": "PRI-03.4", + "title": "Revoke Consent", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to allow data subjects to revoke consent to collect, receive, process, store, transmit, share and/or update their Personal Data (PD)." + }, + { + "name": "assessment-objective", + "id": "PRI-03.4_PRI-03.4_A01", + "prose": "the tools or mechanisms to be implemented for revoking consent to the processing of Personal Data (PD) are defined." + }, + { + "name": "assessment-objective", + "id": "PRI-03.4_PRI-03.4_A02", + "prose": "the tools or mechanisms are implemented for individuals to revoke consent to the processing of their Personal Data (PD)." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:respond" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-2.2-003" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pt-04-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pt-04-03" + }, + { + "rel": "part-of", + "href": "#PRI-03" + } + ] + }, + { + "id": "PRI-03.5", + "title": "Product or Service Delivery Restrictions", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to prevent discrimination against a data subject for exercising their legal rights pertaining to modifying or revoking consent, including prohibiting:\r\n(1) Refusing products and/or services;\r\n(2) Charging different rates for goods and/or services; and\r\n(3) Providing different levels of quality." + }, + { + "name": "assessment-objective", + "id": "PRI-03.5_PRI-03.5_A01", + "prose": "processes exist to prevent the refusal of products and/or services on the grounds that a data subject does not agree to the processing of Personal Data (PD) or withdraws consent." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "part-of", + "href": "#PRI-03" + } + ] + }, + { + "id": "PRI-03.6", + "title": "Authorized Agent", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to allow data subjects to authorize another person or entity (e.g., authorized agent, proxy, etc.), acting on the data subject's behalf, to make Personal Data (PD) processing decisions." + }, + { + "name": "assessment-objective", + "id": "PRI-03.6_PRI-03.6_A01", + "prose": "data subjects are empowered to authorize another person or entity, acting on the data subject's behalf, to make Personal Data (PD) processing decisions." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#PRI-03" + } + ] + }, + { + "id": "PRI-03.7", + "title": "Active Participation By Data Subjects", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to compel data subjects to select the level of consent deemed appropriate by the data subject for the relevant business purpose (e.g., opt-in, opt-out, accept all cookies, etc.)." + }, + { + "name": "assessment-objective", + "id": "PRI-03.7_PRI-03.7_A01", + "prose": "data subjects are compelled to select the level of consent deemed appropriate by the data subject for the relevant business purpose (e.g., opt-in, opt-out, accept all cookies, etc.)." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iso-29100-2024:_6.5" + }, + { + "rel": "part-of", + "href": "#PRI-03" + } + ] + }, + { + "id": "PRI-03.8", + "title": "Global Privacy Control (GPC)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to provide data subjects with functionality to exercise pre-selected opt-out preferences (e.g., opt-out signal)." + }, + { + "name": "assessment-objective", + "id": "PRI-03.8_PRI-03.8_A01", + "prose": "consumer-facing technologies are configured to empower data subjects with functionality to exercise pre-selected opt-out preferences (e.g., opt-out signal)." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#PRI-03" + } + ] + }, + { + "id": "PRI-03.9", + "title": "Continued Use of Personal Data (PD)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to govern the continued use of Personal Data (PD) as it is collected, received, processed, stored, transmitted, shared and/or updated until:\r\n(1) Disposal of PD occurs when there is no longer a legitimate business purpose;\r\n(2) Disposal of PD occurs when the data retention timeline for the use case is met; and/or\r\n(3) Continued use of PD is prohibited upon withdrawal of data subject consent." + }, + { + "name": "assessment-objective", + "id": "PRI-03.9_PRI-03.9_A01", + "prose": "a process exists to notify affected the Personal Data Process Manager, or similar role, when a data subject withdraws consent." + }, + { + "name": "assessment-objective", + "id": "PRI-03.9_PRI-03.9_A02", + "prose": "a process exists to cease processing Personal Data (PD), once notification of consent revocation is received." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iso-29100-2024:_6.6" + }, + { + "rel": "part-of", + "href": "#PRI-03" + } + ] + }, + { + "id": "PRI-03.10", + "title": "Cease Processing, Storing and/or Sharing Personal Data (PD)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure the organization ceases collecting, receiving, processing, storing, transmitting, sharing and/or updating Personal Data (PD) upon receiving a data subject's consent revocation." + }, + { + "name": "assessment-objective", + "id": "PRI-03.10_PRI-03.10_A01", + "prose": "a process to decouple Personal Data (PD) from business processes in a timely manner is defined." + }, + { + "name": "assessment-objective", + "id": "PRI-03.10_PRI-03.10_A02", + "prose": "upon consent revocation by the data subject, processes decouple Personal Data (PD) from business processes." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#PRI-03" + } + ] + }, + { + "id": "PRI-03.11", + "title": "Communicating Processing Changes", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to notify data subjects of processing changes affecting their Personal Data (PD), including:\r\n(1) Erasure of PD;\r\n(2) Remediation of incorrect PD; and/or\r\n(3) Processing restrictions affecting their PD." + }, + { + "name": "assessment-objective", + "id": "PRI-03.11_PRI-03.11_A01", + "prose": "a process exists to contact data subjects." + }, + { + "name": "assessment-objective", + "id": "PRI-03.11_PRI-03.11_A02", + "prose": "a process exists to notify affected data subjects of processing changes affecting their Personal Data (PD), including:\r\n (1) Erasure of PD;\r\n (2) Remediation of incorrect PD; and/or\r\n (3) Processing restrictions affecting their PD." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#PRI-03" + } + ] + }, + { + "id": "PRI-03.12", + "title": "Data Subject Opt-In Consent", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to obtain consent from data subjects to opt-in for the following Personal Data (PD) actions:\r\n(1) Collecting;\r\n(2) Receiving; \r\n(3) Processing;\r\n(4) Storing;\r\n(5) Transmitting:\r\n(6) Sharing; and/or\r\n(7) Updating." + }, + { + "name": "assessment-objective", + "id": "PRI-03.12_PRI-03.12_A01", + "prose": "consent is obtained from data subject for collecting Personal Data (PD)." + }, + { + "name": "assessment-objective", + "id": "PRI-03.12_PRI-03.12_A02", + "prose": "consent is obtained from data subject for receiving Personal Data (PD)." + }, + { + "name": "assessment-objective", + "id": "PRI-03.12_PRI-03.12_A03", + "prose": "consent is obtained from data subject for processing Personal Data (PD)." + }, + { + "name": "assessment-objective", + "id": "PRI-03.12_PRI-03.12_A04", + "prose": "consent is obtained from data subject for storing Personal Data (PD)." + }, + { + "name": "assessment-objective", + "id": "PRI-03.12_PRI-03.12_A05", + "prose": "consent is obtained from data subject for transmitting Personal Data (PD)." + }, + { + "name": "assessment-objective", + "id": "PRI-03.12_PRI-03.12_A06", + "prose": "consent is obtained from data subject for sharing Personal Data (PD)." + }, + { + "name": "assessment-objective", + "id": "PRI-03.12_PRI-03.12_A07", + "prose": "consent is obtained from data subject for updating Personal Data (PD)." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#PRI-03" + } + ] + }, + { + "id": "PRI-03.13", + "title": "Parent or Guardian Opt-In Consent For Minors", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to obtain parental or guardian consent for Personal Data (PD) processing actions through reasonable consumer expectations, when the data subject is a minor." + }, + { + "name": "assessment-objective", + "id": "PRI-03.13_PRI-03.13_A01", + "prose": "processes that may involve minors are identified." + }, + { + "name": "assessment-objective", + "id": "PRI-03.13_PRI-03.13_A02", + "prose": "reasonable consumer expectations to obtain parental or guardian consent for Personal Data (PD) processing actions when the data subject is a minor are identified." + }, + { + "name": "assessment-objective", + "id": "PRI-03.13_PRI-03.13_A03", + "prose": "parental or guardian consent for Personal Data (PD) processing actions through reasonable consumer expectations, when the data subject is a minor, is obtained." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#PRI-03" + } + ] + }, + { + "id": "PRI-04", + "title": "Restrict Collection To Identified Purpose", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to minimize the collection of Personal Data (PD) to only what is adequate, relevant and limited to the purposes identified in the data privacy notice, including protections against collecting PD from minors without appropriate parental or legal guardian consent." + }, + { + "name": "assessment-objective", + "id": "PRI-04_PRI-04_A01", + "prose": "the type of processing of Personal Data (PD) is defined." + }, + { + "name": "assessment-objective", + "id": "PRI-04_PRI-04_A02", + "prose": "the type of processing of Personal Data (PD) to be restricted is defined." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.33" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_18.1.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.33" + }, + { + "rel": "mapped-to", + "href": "#iso-29100-2024:_6.4" + }, + { + "rel": "mapped-to", + "href": "#iso-29100-2024:_6.5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ap-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pt-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pt-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pt-02" + } + ] + }, + { + "id": "PRI-04.1", + "title": "Authority To Collect, Process, Store & Share Personal Data (PD)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to determine and document the legal authority that permits the organization to collect, receive, process, store, transmit, share, update and/or dispose Personal Data (PD), either generally or in support of a specific business process." + }, + { + "name": "assessment-objective", + "id": "PRI-04.1_PRI-04.1_A01", + "prose": "the authority to permit the processing of Personal Data (PD) is defined." + }, + { + "name": "assessment-objective", + "id": "PRI-04.1_PRI-04.1_A02", + "prose": "the authority that permits the processing of Personal Data (PD) is determined and documented." + }, + { + "name": "assessment-objective", + "id": "PRI-04.1_PRI-04.1_A03", + "prose": "the processing of Personal Data (PD) is restricted to only that which is authorized." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dsp-12" + }, + { + "rel": "mapped-to", + "href": "#iso-29100-2024:_6.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ap-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pt-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pt-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pt-02" + }, + { + "rel": "part-of", + "href": "#PRI-04" + } + ] + }, + { + "id": "PRI-04.2", + "title": "Primary Sources", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure information is directly collected from the data subject, whenever possible." + }, + { + "name": "assessment-objective", + "id": "PRI-04.2_PRI-04.2_A01", + "prose": "processes exist to ensure that whenever possible, Personal Data (PD) is directly collected from the data subject." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "part-of", + "href": "#PRI-04" + } + ] + }, + { + "id": "PRI-04.3", + "title": "Identifiable Image Collection", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to restrict collecting, receiving, processing, storing, transmitting and/or sharing of photographic and/or video surveillance image collection that can identify individuals to legitimate business needs." + }, + { + "name": "assessment-objective", + "id": "PRI-04.3_PRI-04.3_A01", + "prose": "the business case(s) is defined for the collection, processing, storage and sharing of photographic and/or video surveillance image collection that can identify individuals." + }, + { + "name": "assessment-objective", + "id": "PRI-04.3_PRI-04.3_A02", + "prose": "the collection, processing, storage and sharing of photographic and/or video surveillance image collection that can identify individuals is restricted to legitimate business needs." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "part-of", + "href": "#PRI-04" + } + ] + }, + { + "id": "PRI-04.4", + "title": "Acquired Personal Data (PD)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to promptly inform data subjects of the utilization purpose when their Personal Data (PD) is acquired and not received directly from the data subject, except where that utilization purpose was disclosed in advance to the data subject." + }, + { + "name": "assessment-objective", + "id": "PRI-04.4_PRI-04.4_A01", + "prose": "data subjects are promptly informed of the utilization purpose when their Personal Data (PD) is acquired and not received directly from the data subject, except where that utilization purpose was disclosed in advance to the data subject." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "part-of", + "href": "#PRI-04" + } + ] + }, + { + "id": "PRI-04.5", + "title": "Validate Collected Personal Data (PD)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure that the data subject, or authorized representative, validate Personal Data (PD) during the collection process." + }, + { + "name": "assessment-objective", + "id": "PRI-04.5_PRI-04.5_A01", + "prose": "data subjects, or authorized representatives, are prompted to validate Personal Data (PD) during the collection process." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:di-1-1" + }, + { + "rel": "part-of", + "href": "#PRI-04" + } + ] + }, + { + "id": "PRI-04.6", + "title": "Re-Validate Collected Personal Data (PD)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure that the data subject, or authorized representative, re-validate that Personal Data (PD) acquired during the collection process is still accurate." + }, + { + "name": "assessment-objective", + "id": "PRI-04.6_PRI-04.6_A01", + "prose": "data subjects, or authorized representatives, are prompted to re-validate that Personal Data (PD) acquired during the collection process is still accurate." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:di-1-2" + }, + { + "rel": "part-of", + "href": "#PRI-04" + } + ] + }, + { + "id": "PRI-04.7", + "title": "Personal Data (PD) Collection Methods", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure that Personal Data (PD) collection methods are:\r\n(1) In accordance with applicable statutory and/or regulatory requirements;\r\n(2) Appropriate for the circumstances of the data subject;\r\n(3) Unambiguous; and\r\n(4) Secure." + }, + { + "name": "assessment-objective", + "id": "PRI-04.7_PRI-04.7_A01", + "prose": "Personal Data (PD) collection methods are defined." + }, + { + "name": "assessment-objective", + "id": "PRI-04.7_PRI-04.7_A02", + "prose": "a process exists to ensure that Personal Data (PD) collection methods are:\r\n (1) Appropriate for the circumstances of the data subject;\r\n (2) Unambiguous; and\r\n (3) Secure." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iso-29100-2024:_6.7" + }, + { + "rel": "part-of", + "href": "#PRI-04" + } + ] + }, + { + "id": "PRI-05", + "title": "Personal Data (PD) Retention & Disposal", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "PRI-05" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to: \r\n(1) Retain Personal Data (PD), including metadata, for an organization-defined time period to fulfill the purpose(s) identified in the notice or as required by law;\r\n(2) Dispose of, destroys, erases, and/or anonymizes the PD, regardless of the method of storage; and\r\n(3) Use organization-defined techniques or methods to ensure secure deletion or destruction of PD (including originals, copies and archived records)." + }, + { + "name": "assessment-objective", + "id": "PRI-05_PRI-05_A01", + "prose": "techniques used to dispose of information following the retention period are defined." + }, + { + "name": "assessment-objective", + "id": "PRI-05_PRI-05_A02", + "prose": "techniques used to destroy information following the retention period are defined." + }, + { + "name": "assessment-objective", + "id": "PRI-05_PRI-05_A03", + "prose": "techniques used to erase information following the retention period are defined." + }, + { + "name": "assessment-objective", + "id": "PRI-05_PRI-05_A04", + "prose": "organization-defined techniques are used to dispose of information following the retention period." + }, + { + "name": "assessment-objective", + "id": "PRI-05_PRI-05_A05", + "prose": "organization-defined techniques are used to destroy information following the retention period." + }, + { + "name": "assessment-objective", + "id": "PRI-05_PRI-05_A06", + "prose": "organization-defined techniques are used to erase information following the retention period." + }, + { + "name": "assessment-objective", + "id": "PRI-05_PRI-05_A07", + "prose": "information within the system is retained in accordance with applicable laws, Executive Orders, directives, regulations, policies, standards, guidelines and operational requirements." + }, + { + "name": "assessment-objective", + "id": "PRI-05_PRI-05_A08", + "prose": "information output from the system is retained in accordance with applicable laws, Executive Orders, directives, regulations, policies, standards, guidelines and operational requirements." + }, + { + "name": "assessment-objective", + "id": "PRI-05_PRI-05_A09", + "prose": "information within the system is managed in accordance with applicable laws, Executive Orders, directives, regulations, policies, standards, guidelines and operational requirements." + }, + { + "name": "assessment-objective", + "id": "PRI-05_PRI-05_A10", + "prose": "information output from the system is managed in accordance with applicable laws, Executive Orders, directives, regulations, policies, standards, guidelines and operational requirements." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_3.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_3.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_3.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_3.5" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dsp-16" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.33" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_18.1.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.33" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.10" + }, + { + "rel": "mapped-to", + "href": "#iso-29100-2024:_6.5" + }, + { + "rel": "mapped-to", + "href": "#iso-29100-2024:_6.6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:dm-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-04-25" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-12-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:si-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:si-12-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:si-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-04-25" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-12-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:si-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:si-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:si-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:si-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:si-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:si-12" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.am-07" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.4.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.4.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_9.4.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_9.4.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_9.4.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_9.4.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_9.4.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_10.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_9.4.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.4.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.4.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.4.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.4.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-p2pe:_9.4.6" + } + ] + }, + { + "id": "PRI-05.1", + "title": "Internal Use of Personal Data (PD) For Testing, Training and Research", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to address the use of Personal Data (PD) for internal testing, training and research that:\r\n(1) Takes measures to limit or minimize the amount of PD used for internal testing, training and research purposes; and\r\n(2) Authorizes the use of PD when such information is required for internal testing, training and research." + }, + { + "name": "assessment-objective", + "id": "PRI-05.1_PRI-05.1_A01", + "prose": "elements of Personal Data (PD) being processed in the information life cycle are defined." + }, + { + "name": "assessment-objective", + "id": "PRI-05.1_PRI-05.1_A02", + "prose": "techniques used to minimize the use of Personal Data (PD) for research, testing and training are defined." + }, + { + "name": "assessment-objective", + "id": "PRI-05.1_PRI-05.1_A03", + "prose": "organization-defined techniques are used to minimize the use of Personal Data (PD) for research, testing and training." + }, + { + "name": "assessment-objective", + "id": "PRI-05.1_PRI-05.1_A04", + "prose": "Personal Data (PD) being processed in the information life cycle is limited to organization-defined elements of Personal Data (PD)." + }, + { + "name": "assessment-objective", + "id": "PRI-05.1_PRI-05.1_A05", + "prose": "the frequency for reviewing policies that address the use of Personal Data (PD) for internal testing, training and research is defined." + }, + { + "name": "assessment-objective", + "id": "PRI-05.1_PRI-05.1_A06", + "prose": "the frequency for updating policies that address the use of Personal Data (PD) for internal testing, training and research is defined." + }, + { + "name": "assessment-objective", + "id": "PRI-05.1_PRI-05.1_A07", + "prose": "the frequency for reviewing procedures that address the use of Personal Data (PD) for internal testing, training and research is defined." + }, + { + "name": "assessment-objective", + "id": "PRI-05.1_PRI-05.1_A08", + "prose": "the frequency for updating procedures that address the use of Personal Data (PD) for internal testing, training and research is defined." + }, + { + "name": "assessment-objective", + "id": "PRI-05.1_PRI-05.1_A09", + "prose": "policies that address the use of Personal Data (PD) for internal research, testing and training are developed and documented." + }, + { + "name": "assessment-objective", + "id": "PRI-05.1_PRI-05.1_A10", + "prose": "procedures that address the use of Personal Data (PD) for internal research, testing and training are developed and documented." + }, + { + "name": "assessment-objective", + "id": "PRI-05.1_PRI-05.1_A11", + "prose": "policies that address the use of Personal Data (PD) for internal research, testing and training are implemented." + }, + { + "name": "assessment-objective", + "id": "PRI-05.1_PRI-05.1_A12", + "prose": "procedures that address the use of Personal Data (PD) for internal research, testing and training are implemented." + }, + { + "name": "assessment-objective", + "id": "PRI-05.1_PRI-05.1_A13", + "prose": "the amount of Personal Data (PD) used for internal research, testing and training purposes is limited or minimized." + }, + { + "name": "assessment-objective", + "id": "PRI-05.1_PRI-05.1_A14", + "prose": "the required use of Personal Data (PD) for internal research, testing and training is authorized." + }, + { + "name": "assessment-objective", + "id": "PRI-05.1_PRI-05.1_A15", + "prose": "policies are reviewed frequently." + }, + { + "name": "assessment-objective", + "id": "PRI-05.1_PRI-05.1_A16", + "prose": "policies are updated frequently." + }, + { + "name": "assessment-objective", + "id": "PRI-05.1_PRI-05.1_A17", + "prose": "procedures are reviewed frequently." + }, + { + "name": "assessment-objective", + "id": "PRI-05.1_PRI-05.1_A18", + "prose": "procedures are updated frequently." + }, + { + "name": "assessment-objective", + "id": "PRI-05.1_PRI-05.1_A19", + "prose": "the authority to permit the processing of Personal Data (PD) is defined." + }, + { + "name": "assessment-objective", + "id": "PRI-05.1_PRI-05.1_A20", + "prose": "the type of processing of Personal Data (PD) is defined." + }, + { + "name": "assessment-objective", + "id": "PRI-05.1_PRI-05.1_A21", + "prose": "the type of processing of Personal Data (PD) to be restricted is defined." + }, + { + "name": "assessment-objective", + "id": "PRI-05.1_PRI-05.1_A22", + "prose": "the authority that permits the processing of Personal Data (PD) is determined and documented." + }, + { + "name": "assessment-objective", + "id": "PRI-05.1_PRI-05.1_A23", + "prose": "the processing of Personal Data (PD) is restricted to only that which is authorized." + }, + { + "name": "assessment-objective", + "id": "PRI-05.1_PRI-05.1_A24", + "prose": "the purpose(s) for processing Personal Data (PD) is/are defined." + }, + { + "name": "assessment-objective", + "id": "PRI-05.1_PRI-05.1_A25", + "prose": "the processing of Personal Data (PD) to be restricted is defined." + }, + { + "name": "assessment-objective", + "id": "PRI-05.1_PRI-05.1_A26", + "prose": "mechanisms to be implemented for ensuring any changes in the processing of Personal Data (PD) are made in accordance with requirements are defined." + }, + { + "name": "assessment-objective", + "id": "PRI-05.1_PRI-05.1_A27", + "prose": "requirements for changing the processing of Personal Data (PD) are defined." + }, + { + "name": "assessment-objective", + "id": "PRI-05.1_PRI-05.1_A28", + "prose": "the purpose(s) for processing Personal Data (PD) is/are identified and documented." + }, + { + "name": "assessment-objective", + "id": "PRI-05.1_PRI-05.1_A29", + "prose": "the purpose(s) is/are described in the public privacy notices of the organization." + }, + { + "name": "assessment-objective", + "id": "PRI-05.1_PRI-05.1_A30", + "prose": "the purpose(s) is/are described in the policies of the organization." + }, + { + "name": "assessment-objective", + "id": "PRI-05.1_PRI-05.1_A31", + "prose": "the processing of Personal Data (PD) is restricted to only that which is compatible with the identified purpose(s)." + }, + { + "name": "assessment-objective", + "id": "PRI-05.1_PRI-05.1_A32", + "prose": "changes in the processing of Personal Data (PD) are monitored." + }, + { + "name": "assessment-objective", + "id": "PRI-05.1_PRI-05.1_A33", + "prose": "mechanisms are implemented to ensure that any changes are made in accordance with requirements." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dsp-12" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dsp-15" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.33" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_18.1.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.33" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:dm-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:dm-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:dm-3-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pm-25" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pt-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pt-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-12-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-12-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pm-25" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pt-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pt-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:si-12-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:si-12-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pm-25" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pt-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pt-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-12-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-12-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pm-25" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pm-25" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pm-25" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pm-25" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:pm-25" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.5.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.5.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.5.5" + }, + { + "rel": "part-of", + "href": "#PRI-05" + } + ] + }, + { + "id": "PRI-05.2", + "title": "Personal Data (PD) Accuracy & Integrity", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure the accuracy and relevance of Personal Data (PD) throughout the information lifecycle by:\r\n(1) Keeping PD up-to-date; and \r\n(2) Remediating identified inaccuracies, as necessary." + }, + { + "name": "assessment-objective", + "id": "PRI-05.2_PRI-05.2_A01", + "prose": "a data integrity board/function is established." + }, + { + "name": "assessment-objective", + "id": "PRI-05.2_PRI-05.2_A02", + "prose": "the data integrity board/function reviews proposals to conduct or participate in a matching program." + }, + { + "name": "assessment-objective", + "id": "PRI-05.2_PRI-05.2_A03", + "prose": "the data integrity board/function conducts an annual review of all matching programs in which the agency has participated." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#iso-29100-2024:_6.7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:di-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pm-24" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pm-24" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pm-24" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pm-24" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pm-24" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pm-24" + }, + { + "rel": "part-of", + "href": "#PRI-05" + } + ] + }, + { + "id": "PRI-05.3", + "title": "Data Masking", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to mask sensitive/regulated data through data anonymization, pseudonymization, redaction or de-identification." + }, + { + "name": "assessment-objective", + "id": "PRI-05.3_PRI-05.3_A01", + "prose": "direct identifiers in a dataset are removed, masked, encrypted, hashed or replaced." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.11" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-19-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:si-19-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-19-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:si-19-04" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_3.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_3.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_3.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_3.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_3.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_3.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_3.4.1" + }, + { + "rel": "part-of", + "href": "#PRI-05" + } + ] + }, + { + "id": "PRI-05.4", + "title": "Usage Restrictions of Personal Data (PD)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to restrict collecting, receiving, processing, storing, transmitting, sharing and/or updating Personal Data (PD) to:\r\n(1) The purpose(s) originally collected, consistent with the data privacy notice(s);\r\n(2) What is authorized by the data subject, or authorized agent; and\r\n(3) What is consistent with applicable laws, regulations and contractual obligations." + }, + { + "name": "assessment-objective", + "id": "PRI-05.4_PRI-05.4_A01", + "prose": "the authority to permit the processing of Personal Data (PD) is defined." + }, + { + "name": "assessment-objective", + "id": "PRI-05.4_PRI-05.4_A02", + "prose": "the type of processing of Personal Data (PD) is defined." + }, + { + "name": "assessment-objective", + "id": "PRI-05.4_PRI-05.4_A03", + "prose": "the type of processing of Personal Data (PD) to be restricted is defined." + }, + { + "name": "assessment-objective", + "id": "PRI-05.4_PRI-05.4_A04", + "prose": "the authority that permits the processing of Personal Data (PD) is determined and documented." + }, + { + "name": "assessment-objective", + "id": "PRI-05.4_PRI-05.4_A05", + "prose": "the processing of Personal Data (PD) is restricted to only that which is authorized." + }, + { + "name": "assessment-objective", + "id": "PRI-05.4_PRI-05.4_A06", + "prose": "processing conditions to be applied for specific categories of Personal Data (PD) are defined." + }, + { + "name": "assessment-objective", + "id": "PRI-05.4_PRI-05.4_A07", + "prose": "processing conditions are applied for specific categories of Personal Data (PD)." + }, + { + "name": "assessment-objective", + "id": "PRI-05.4_PRI-05.4_A08", + "prose": "data mining prevention and detection techniques are defined." + }, + { + "name": "assessment-objective", + "id": "PRI-05.4_PRI-05.4_A09", + "prose": "data storage objects to be protected against unauthorized data mining are defined." + }, + { + "name": "assessment-objective", + "id": "PRI-05.4_PRI-05.4_A10", + "prose": "organization-defined techniques are employed for organization-defined data storage objects to detect and protect against unauthorized data mining." + }, + { + "name": "assessment-objective", + "id": "PRI-05.4_PRI-05.4_A11", + "prose": "the frequency for reviewing policies that address the use of Personal Data (PD) for internal testing, training and research is defined." + }, + { + "name": "assessment-objective", + "id": "PRI-05.4_PRI-05.4_A12", + "prose": "the frequency for updating policies that address the use of Personal Data (PD) for internal testing, training and research is defined." + }, + { + "name": "assessment-objective", + "id": "PRI-05.4_PRI-05.4_A13", + "prose": "the frequency for reviewing procedures that address the use of Personal Data (PD) for internal testing, training and research is defined." + }, + { + "name": "assessment-objective", + "id": "PRI-05.4_PRI-05.4_A14", + "prose": "the frequency for updating procedures that address the use of Personal Data (PD) for internal testing, training and research is defined." + }, + { + "name": "assessment-objective", + "id": "PRI-05.4_PRI-05.4_A15", + "prose": "policies that address the use of Personal Data (PD) for internal testing are developed and documented." + }, + { + "name": "assessment-objective", + "id": "PRI-05.4_PRI-05.4_A16", + "prose": "policies that address the use of Personal Data (PD) for internal training are developed and documented." + }, + { + "name": "assessment-objective", + "id": "PRI-05.4_PRI-05.4_A17", + "prose": "policies that address the use of Personal Data (PD) for internal research are developed and documented." + }, + { + "name": "assessment-objective", + "id": "PRI-05.4_PRI-05.4_A18", + "prose": "procedures that address the use of Personal Data (PD) for internal testing are developed and documented." + }, + { + "name": "assessment-objective", + "id": "PRI-05.4_PRI-05.4_A19", + "prose": "procedures that address the use of Personal Data (PD) for internal training are developed and documented." + }, + { + "name": "assessment-objective", + "id": "PRI-05.4_PRI-05.4_A20", + "prose": "procedures that address the use of Personal Data (PD) for internal research are developed and documented." + }, + { + "name": "assessment-objective", + "id": "PRI-05.4_PRI-05.4_A21", + "prose": "policies that address the use of Personal Data (PD) for internal testing are implemented." + }, + { + "name": "assessment-objective", + "id": "PRI-05.4_PRI-05.4_A22", + "prose": "policies that address the use of Personal Data (PD) for training are implemented." + }, + { + "name": "assessment-objective", + "id": "PRI-05.4_PRI-05.4_A23", + "prose": "policies that address the use of Personal Data (PD) for research are implemented." + }, + { + "name": "assessment-objective", + "id": "PRI-05.4_PRI-05.4_A24", + "prose": "procedures that address the use of Personal Data (PD) for internal testing are implemented." + }, + { + "name": "assessment-objective", + "id": "PRI-05.4_PRI-05.4_A25", + "prose": "procedures that address the use of Personal Data (PD) for training are implemented." + }, + { + "name": "assessment-objective", + "id": "PRI-05.4_PRI-05.4_A26", + "prose": "procedures that address the use of Personal Data (PD) for research are implemented." + }, + { + "name": "assessment-objective", + "id": "PRI-05.4_PRI-05.4_A27", + "prose": "the amount of Personal Data (PD) used for internal testing purposes is limited or minimized." + }, + { + "name": "assessment-objective", + "id": "PRI-05.4_PRI-05.4_A28", + "prose": "the amount of Personal Data (PD) used for internal training purposes is limited or minimized." + }, + { + "name": "assessment-objective", + "id": "PRI-05.4_PRI-05.4_A29", + "prose": "the amount of Personal Data (PD) used for internal research purposes is limited or minimized." + }, + { + "name": "assessment-objective", + "id": "PRI-05.4_PRI-05.4_A30", + "prose": "the required use of Personal Data (PD) for internal testing is authorized." + }, + { + "name": "assessment-objective", + "id": "PRI-05.4_PRI-05.4_A31", + "prose": "the required use of Personal Data (PD) for internal training is authorized." + }, + { + "name": "assessment-objective", + "id": "PRI-05.4_PRI-05.4_A32", + "prose": "the required use of Personal Data (PD) for internal research is authorized." + }, + { + "name": "assessment-objective", + "id": "PRI-05.4_PRI-05.4_A33", + "prose": "policies are reviewed frequently." + }, + { + "name": "assessment-objective", + "id": "PRI-05.4_PRI-05.4_A34", + "prose": "policies are updated frequently." + }, + { + "name": "assessment-objective", + "id": "PRI-05.4_PRI-05.4_A35", + "prose": "procedures are reviewed frequently." + }, + { + "name": "assessment-objective", + "id": "PRI-05.4_PRI-05.4_A36", + "prose": "procedures are updated frequently." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dsp-12" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dsp-17" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.33" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_18.1.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.33" + }, + { + "rel": "mapped-to", + "href": "#iso-29100-2024:_6.6" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:map-1.6" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:ct.po-p1" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:ct.po-p2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:dm-3-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ul-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pm-25" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pt-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pt-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ac-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pm-25" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pt-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pt-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pm-25" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pt-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pt-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pm-25" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pm-25" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pm-25" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:ac-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ac-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pm-25" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:ac-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ac-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:pm-25" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ac-23" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.5.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.5.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.5.5" + }, + { + "rel": "part-of", + "href": "#PRI-05" + } + ] + }, + { + "id": "PRI-05.5", + "title": "Inventory of Personal Data (PD)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "PRI-05.5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to establish and maintain a current inventory of all Technology Assets, Applications and/or Services (TAAS) that collect, receive, process, store, transmit, share, update and/or dispose Personal Data (PD)." + }, + { + "name": "assessment-objective", + "id": "PRI-05.5_PRI-05.5_A01", + "prose": "the frequency at which to update the inventory of systems, applications and projects that process Personal Data (PD) is defined." + }, + { + "name": "assessment-objective", + "id": "PRI-05.5_PRI-05.5_A02", + "prose": "an inventory of all systems, applications and projects that process Personal Data (PD) is established." + }, + { + "name": "assessment-objective", + "id": "PRI-05.5_PRI-05.5_A03", + "prose": "an inventory of all systems, applications and projects that process Personal Data (PD) is maintained." + }, + { + "name": "assessment-objective", + "id": "PRI-05.5_PRI-05.5_A04", + "prose": "an inventory of all systems, applications and projects that process Personal Data (PD) is updated frequently." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.9" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_8.1.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.9" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:id.im-p3" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:id.im-p6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:se-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pm-05-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pm-05-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pm-05-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-1" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.am-07" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.5.1" + }, + { + "rel": "part-of", + "href": "#PRI-05" + } + ] + }, + { + "id": "PRI-05.6", + "title": "Personal Data (PD) Inventory Automation Support", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to determine if Personal Data (PD) is maintained in electronic form." + }, + { + "name": "assessment-objective", + "id": "PRI-05.6_PRI-05.6_A01", + "prose": "automated mechanisms are implemented to inventory Personal Data (PD) across the organization." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:id.im-p3" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:id.im-p6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pm-05-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pm-05-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pm-05-01" + }, + { + "rel": "part-of", + "href": "#PRI-05" + } + ] + }, + { + "id": "PRI-05.7", + "title": "Personal Data (PD) Categories", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to define and implement data handling and protection requirements for specific categories of sensitive Personal Data (PD)." + }, + { + "name": "assessment-objective", + "id": "PRI-05.7_PRI-05.7_A01", + "prose": "processing conditions to be applied for specific categories of Personal Data (PD) are defined." + }, + { + "name": "assessment-objective", + "id": "PRI-05.7_PRI-05.7_A02", + "prose": "processing conditions are applied for specific categories of Personal Data (PD)." + }, + { + "name": "assessment-objective", + "id": "PRI-05.7_PRI-05.7_A03", + "prose": "when a system processes Social Security numbers, the unnecessary collection, maintenance and use of Social Security numbers are eliminated." + }, + { + "name": "assessment-objective", + "id": "PRI-05.7_PRI-05.7_A04", + "prose": "when a system processes Social Security numbers, alternatives to the use of Social Security Numbers as a personal identifier are explored." + }, + { + "name": "assessment-objective", + "id": "PRI-05.7_PRI-05.7_A05", + "prose": "when a system processes Social Security numbers, individual rights, benefits or privileges provided by law are not denied because of an individual’s refusal to disclose their Social Security number." + }, + { + "name": "assessment-objective", + "id": "PRI-05.7_PRI-05.7_A06", + "prose": "when a system processes Social Security numbers, any individual who is asked to disclose their Social Security number is informed whether that disclosure is mandatory or voluntary, by what statutory or other authority such number is solicited and what uses will be made of it." + }, + { + "name": "assessment-objective", + "id": "PRI-05.7_PRI-05.7_A07", + "prose": "when a system processes Social Security numbers, any individual who is asked to disclose their Social Security number is informed by what statutory or other authority the number is solicited." + }, + { + "name": "assessment-objective", + "id": "PRI-05.7_PRI-05.7_A08", + "prose": "when a system processes Social Security numbers, any individual who is asked to disclose their Social Security number is informed what uses will be made of it." + }, + { + "name": "assessment-objective", + "id": "PRI-05.7_PRI-05.7_A09", + "prose": "the processing of information describing how any individual exercises rights guaranteed by the First Amendment is prohibited unless expressly authorized by statute or by the individual or unless pertinent to and within the scope of an authorized law enforcement activity." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:id.im-p3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pt-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pt-07-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pt-07-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pt-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pt-07-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pt-07-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pt-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pt-07-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pt-07-02" + }, + { + "rel": "part-of", + "href": "#PRI-05" + } + ] + }, + { + "id": "PRI-05.8", + "title": "Personal Data (PD) Formats", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to retain Personal Data (PD) in a format permitting data subject identification for no longer than is necessary for legitimate business purposes." + }, + { + "name": "assessment-objective", + "id": "PRI-05.8_PRI-05.8_A01", + "prose": "a data retention schedule, or similar process, dictates the maximum timeline necessary to maintain Personal Data (PD), based on purposes for which the PD are processed." + }, + { + "name": "assessment-objective", + "id": "PRI-05.8_PRI-05.8_A02", + "prose": "processes are defined to implement the data retention schedule for Personal Data (PD)." + }, + { + "name": "assessment-objective", + "id": "PRI-05.8_PRI-05.8_A03", + "prose": "processes remove Personal Data (PD) which permits the identification of data subjects once it is no longer necessary for the purposes for which the PD are processed." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#PRI-05" + } + ] + }, + { + "id": "PRI-06", + "title": "Data Subject Empowerment", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to provide authenticated data subjects the ability to:\r\n(1) Access their Personal Data (PD) that is being processed, stored and shared, except where the burden, risk or expense of providing access would be disproportionate to the benefit offered to the data subject through granting access;\r\n(2) Obtain answers on the specifics of how their PD is collected, received, processed, stored, transmitted, shared, updated and/or disposed; \r\n(3) Obtain the source(s) of their PD; \r\n(4) Obtain the categories of their PD being collected, received, processed, stored and shared; \r\n(5) Request correction to their PD due to inaccuracies;\r\n(6) Request erasure of their PD; and\r\n(7) Restrict the further collecting, receiving, processing, storing, transmitting, updated and/or sharing of their PD." + }, + { + "name": "assessment-objective", + "id": "PRI-06_PRI-06_A01", + "prose": "mechanisms enabling individuals to have access to elements of their Personal Data (PD) are defined." + }, + { + "name": "assessment-objective", + "id": "PRI-06_PRI-06_A02", + "prose": "elements of Personal Data (PD) to which individuals have access are defined." + }, + { + "name": "assessment-objective", + "id": "PRI-06_PRI-06_A03", + "prose": "organization-defined mechanisms are provided to enable individuals to have access to organization-defined elements of their Personal Data (PD)." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dsp-11" + }, + { + "rel": "mapped-to", + "href": "#iso-29100-2024:_6.9" + }, + { + "rel": "mapped-to", + "href": "#iso-29100-2024:_6.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ip-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-03-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-18-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ac-03-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:si-18-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-03-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-18-04" + } + ] + }, + { + "id": "PRI-06.1", + "title": "Correcting Inaccurate Personal Data (PD)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to maintain a process for:\r\n(1) Data subjects to have inaccurate Personal Data (PD) maintained by the organization corrected or amended; and\r\n(2) Disseminating corrections or amendments of PD to other authorized users of the PD." + }, + { + "name": "assessment-objective", + "id": "PRI-06.1_PRI-06.1_A01", + "prose": "recipients of Personal Data (PD) to be notified when the Personal Data (PD) has been corrected or deleted are defined." + }, + { + "name": "assessment-objective", + "id": "PRI-06.1_PRI-06.1_A02", + "prose": "recipients and individuals are notified when the Personal Data (PD) has been corrected or deleted." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:respond" + }, + { + "rel": "mapped-to", + "href": "#iso-29100-2024:_6.9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ip-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-18-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-18-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:si-18-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:si-18-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-18-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-18-05" + }, + { + "rel": "part-of", + "href": "#PRI-06" + } + ] + }, + { + "id": "PRI-06.2", + "title": "Notice of Correction or Processing Change", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to notify affected data subjects if their Personal Data (PD) has been corrected, amended or deleted." + }, + { + "name": "assessment-objective", + "id": "PRI-06.2_PRI-06.2_A01", + "prose": "recipients of Personal Data (PD) to be notified when the Personal Data (PD) has been corrected or deleted are defined." + }, + { + "name": "assessment-objective", + "id": "PRI-06.2_PRI-06.2_A02", + "prose": "recipients and individuals are notified when the Personal Data (PD) has been corrected or deleted." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:respond" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:ct.po-p4" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:cm.po-p1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-18-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:si-18-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-18-05" + }, + { + "rel": "part-of", + "href": "#PRI-06" + } + ] + }, + { + "id": "PRI-06.3", + "title": "Appeal Adverse Decision", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to maintain a process for data subjects to appeal an adverse decision." + }, + { + "name": "assessment-objective", + "id": "PRI-06.3_PRI-06.3_A01", + "prose": "a process for receiving & acknowledging complaints, concerns or questions from individuals about organizational cybersecurity / data privacy practices is implemented." + }, + { + "name": "assessment-objective", + "id": "PRI-06.3_PRI-06.3_A02", + "prose": "a process for responding to complaints, concerns or questions from individuals about organizational cybersecurity / data privacy practices is implemented." + }, + { + "name": "assessment-objective", + "id": "PRI-06.3_PRI-06.3_A03", + "prose": "the time period in which complaints (including concerns or questions) from individuals are to be reviewed and acknowledging is defined." + }, + { + "name": "assessment-objective", + "id": "PRI-06.3_PRI-06.3_A04", + "prose": "the time period in which complaints (including concerns or questions) from individuals are to be addressed is defined." + }, + { + "name": "assessment-objective", + "id": "PRI-06.3_PRI-06.3_A05", + "prose": "the complaint management process includes mechanisms that are easy to use by the public." + }, + { + "name": "assessment-objective", + "id": "PRI-06.3_PRI-06.3_A06", + "prose": "the complaint management process includes mechanisms that are readily accessible by the public." + }, + { + "name": "assessment-objective", + "id": "PRI-06.3_PRI-06.3_A07", + "prose": "the complaint management process includes all information necessary for successfully filing complaints." + }, + { + "name": "assessment-objective", + "id": "PRI-06.3_PRI-06.3_A08", + "prose": "the complaint management process includes tracking mechanisms to ensure that all complaints are reviewed within an organization-defined time period." + }, + { + "name": "assessment-objective", + "id": "PRI-06.3_PRI-06.3_A09", + "prose": "the complaint management process includes tracking mechanisms to ensure that all complaints are addressed within an organization-defined time period." + }, + { + "name": "assessment-objective", + "id": "PRI-06.3_PRI-06.3_A10", + "prose": "the complaint management process includes acknowledging the receipt of complaints, concerns or questions from individuals within an organization-defined time period." + }, + { + "name": "assessment-objective", + "id": "PRI-06.3_PRI-06.3_A11", + "prose": "the complaint management process includes responding to complaints, concerns or questions from individuals within an organization-defined time period." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:respond" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pm-26" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pm-26" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pm-26" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pm-26" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pm-26" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pm-26" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pm-26" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:pm-26" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:pm-26" + }, + { + "rel": "part-of", + "href": "#PRI-06" + } + ] + }, + { + "id": "PRI-06.4", + "title": "User Feedback Management", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to maintain a process to efficiently and effectively respond to requests, complaints, concerns or questions from authenticated data subjects about Personal Data (PD) the organization collects, receives, processes, stores, transmits, shares, updates and/or disposes." + }, + { + "name": "assessment-objective", + "id": "PRI-06.4_PRI-06.4_A01", + "prose": "the time period in which complaints (including concerns or questions) from individuals are to be reviewed and acknowledging is defined." + }, + { + "name": "assessment-objective", + "id": "PRI-06.4_PRI-06.4_A02", + "prose": "the time period in which complaints (including concerns or questions) from individuals are to be addressed is defined." + }, + { + "name": "assessment-objective", + "id": "PRI-06.4_PRI-06.4_A03", + "prose": "the time period for acknowledging the receipt of complaints is defined." + }, + { + "name": "assessment-objective", + "id": "PRI-06.4_PRI-06.4_A04", + "prose": "the time period for responding to complaints is defined." + }, + { + "name": "assessment-objective", + "id": "PRI-06.4_PRI-06.4_A05", + "prose": "a process for receiving & acknowledging complaints, concerns or questions from individuals about organizational cybersecurity / data privacy practices is implemented." + }, + { + "name": "assessment-objective", + "id": "PRI-06.4_PRI-06.4_A06", + "prose": "a process for responding to complaints, concerns or questions from individuals about organizational cybersecurity / data privacy practices is implemented." + }, + { + "name": "assessment-objective", + "id": "PRI-06.4_PRI-06.4_A07", + "prose": "the complaint management process includes mechanisms that are easy to use by the public." + }, + { + "name": "assessment-objective", + "id": "PRI-06.4_PRI-06.4_A08", + "prose": "the complaint management process includes mechanisms that are readily accessible by the public." + }, + { + "name": "assessment-objective", + "id": "PRI-06.4_PRI-06.4_A09", + "prose": "the complaint management process includes all information necessary for successfully filing complaints." + }, + { + "name": "assessment-objective", + "id": "PRI-06.4_PRI-06.4_A10", + "prose": "the complaint management process includes tracking mechanisms to ensure that all complaints are reviewed within an organization-defined time period." + }, + { + "name": "assessment-objective", + "id": "PRI-06.4_PRI-06.4_A11", + "prose": "the complaint management process includes tracking mechanisms to ensure that all complaints are addressed within an organization-defined time period." + }, + { + "name": "assessment-objective", + "id": "PRI-06.4_PRI-06.4_A12", + "prose": "the complaint management process includes acknowledging the receipt of complaints, concerns or questions from individuals within an organization-defined time period." + }, + { + "name": "assessment-objective", + "id": "PRI-06.4_PRI-06.4_A13", + "prose": "the complaint management process includes responding to complaints, concerns or questions from individuals within an organization-defined time period." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:respond" + }, + { + "rel": "mapped-to", + "href": "#iso-29100-2024:_6.1" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:gv.mt-p7" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:ct.po-p4" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:cm.aw-p2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ip-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ip-4-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pm-26" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pm-26" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pm-26" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pm-26" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pm-26" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pm-26" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pm-26" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:pm-26" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:pm-26" + }, + { + "rel": "part-of", + "href": "#PRI-06" + } + ] + }, + { + "id": "PRI-06.5", + "title": "Right to Erasure", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to maintain a process to erase a data subject's Personal Data (PD), in accordance with applicable laws, regulations and contractual obligations pertaining to the retention of their PD." + }, + { + "name": "assessment-objective", + "id": "PRI-06.5_PRI-06.5_A01", + "prose": "administrative processes exist to intake data subject requests to erase Personal Data (PD) erase Personal Data (PD)." + }, + { + "name": "assessment-objective", + "id": "PRI-06.5_PRI-06.5_A02", + "prose": "technical processes exist to securely erase Personal Data (PD) without delay, once a legitimate data subject request for erasure is received." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:respond" + }, + { + "rel": "part-of", + "href": "#PRI-06" + } + ] + }, + { + "id": "PRI-06.6", + "title": "Data Portability", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to format exports of Personal Data (PD) in a structured, machine-readable format that allows data subjects to transfer their PD to another controller without hindrance." + }, + { + "name": "assessment-objective", + "id": "PRI-06.6_PRI-06.6_A01", + "prose": "export Personal Data (PD) in a structured, commonly used and machine-readable format that allows the data subject to transmit the data to another controller without hindrance." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:id.de-p4" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:ct.dm-p6" + }, + { + "rel": "part-of", + "href": "#PRI-06" + } + ] + }, + { + "id": "PRI-06.7", + "title": "Personal Data (PD) Exports", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to export a data subject's available Personal Data (PD) in a readily usable format, upon an authenticated request." + }, + { + "name": "assessment-objective", + "id": "PRI-06.7_PRI-06.7_A01", + "prose": "Personal Data (PD) is capable of being digitally exported in a secure manner upon request by the data subject." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:ct.dm-p6" + }, + { + "rel": "part-of", + "href": "#PRI-06" + } + ] + }, + { + "id": "PRI-06.8", + "title": "Data Subject Authentication", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to utilize reasonable consumer expectations to verify a data subject's identity, prior to taking action to disclose, share, correct, amend and/or delete Personal Data (PD)." + }, + { + "name": "assessment-objective", + "id": "PRI-06.8_PRI-06.8_A01", + "prose": "reasonable consumer expectations to verify a data subject's identity, prior to taking action to disclose, share, correct, amend and/or delete Personal Data (PD), are identified." + }, + { + "name": "assessment-objective", + "id": "PRI-06.8_PRI-06.8_A02", + "prose": "reasonable consumer expectations are utilized to verify a data subject's identity, prior to taking action to disclose, share, correct, amend and/or delete Personal Data (PD)." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#PRI-06" + } + ] + }, + { + "id": "PRI-07", + "title": "Information Sharing With Third Parties", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to disclose Personal Data (PD) to third-parties only for the purposes identified in the data privacy notice and with the implicit or explicit consent of the data subject." + }, + { + "name": "assessment-objective", + "id": "PRI-07_PRI-07_A01", + "prose": "information-sharing circumstances where user discretion is required to determine whether access authorizations assigned to a sharing partner match the information’s access and use restrictions are defined." + }, + { + "name": "assessment-objective", + "id": "PRI-07_PRI-07_A02", + "prose": "authorized users are enabled to determine whether access authorizations assigned to a sharing partner match the information’s access and use restrictions for information-sharing circumstances." + }, + { + "name": "assessment-objective", + "id": "PRI-07_PRI-07_A03", + "prose": "automated mechanisms or manual processes that assist users in making information-sharing and collaboration decisions are defined." + }, + { + "name": "assessment-objective", + "id": "PRI-07_PRI-07_A04", + "prose": "automated mechanisms are employed to assist users in making information-sharing and collaboration decisions." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dsp-13" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.33" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_18.1.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.33" + }, + { + "rel": "mapped-to", + "href": "#iso-29100-2024:_6.1" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:ct.po-p2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ul-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-21" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ac-21" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:ac-21" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-21" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ac-21" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ac-21" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ac-21" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:ac-21" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ac-21" + } + ] + }, + { + "id": "PRI-07.1", + "title": "Data Privacy Requirements for Contractors & Service Providers", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "PRI-07.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to include data privacy requirements in contracts and other acquisition-related documents that establish data privacy roles and responsibilities for contractors and service providers." + }, + { + "name": "assessment-objective", + "id": "PRI-07.1_PRI-07.1_A01", + "prose": "includes privacy requirements in contracts and other acquisition-related documents that establish privacy roles and responsibilities for contractors and service providers." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_15.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_15.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_15.4" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dsp-13" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:ipy-04" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:cls-04" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.31" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.33" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_18.1.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.1-a" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.31" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.33" + }, + { + "rel": "mapped-to", + "href": "#iso-29100-2024:_6.1" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:id.de-p3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ar-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:po.1" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-05" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a01-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a02-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a05-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a07-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a09-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a10-2025" + }, + { + "rel": "part-of", + "href": "#PRI-07" + } + ] + }, + { + "id": "PRI-07.2", + "title": "Joint Processing of Personal Data (PD)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to clearly define and communicate the organization's role in processing Personal Data (PD) in the data processing ecosystem." + }, + { + "name": "assessment-objective", + "id": "PRI-07.2_PRI-07.2_A01", + "prose": "clearly define and communicate the organization's role in processing Personal Data (PD) in the data processing ecosystem." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dsp-13" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:id.be-p1" + }, + { + "rel": "part-of", + "href": "#PRI-07" + } + ] + }, + { + "id": "PRI-07.3", + "title": "Obligation To Inform Third-Parties", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to inform applicable third-parties of any modification, deletion or other change that affects shared Personal Data (PD)." + }, + { + "name": "assessment-objective", + "id": "PRI-07.3_PRI-07.3_A01", + "prose": "inform applicable third-parties of any modification, deletion or other change that affects shared Personal Data (PD)." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dsp-13" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:cm.aw-p5" + }, + { + "rel": "part-of", + "href": "#PRI-07" + } + ] + }, + { + "id": "PRI-07.4", + "title": "Reject Unauthenticated or Untrustworthy Disclosure Requests", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to reject unauthenticated, or untrustworthy, disclosure requests." + }, + { + "name": "assessment-objective", + "id": "PRI-07.4_PRI-07.4_A01", + "prose": "reject unauthorized disclosure requests." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dsp-18" + }, + { + "rel": "part-of", + "href": "#PRI-07" + } + ] + }, + { + "id": "PRI-07.5", + "title": "Justification To Reject Disclosure Requests", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to reject data subject access requests that are categorized as:\r\n(1) Harassing; \r\n(2) Repetitive; or\r\n(3) Fraudulent." + }, + { + "name": "assessment-objective", + "id": "PRI-07.5_PRI-07.5_A01", + "prose": "criteria to define what constitutes \"repetitious or harassing\" requests for access from data subjects is defined." + }, + { + "name": "assessment-objective", + "id": "PRI-07.5_PRI-07.5_A02", + "prose": "a process exists to document data subject requests." + }, + { + "name": "assessment-objective", + "id": "PRI-07.5_PRI-07.5_A03", + "prose": "data subject requests for access are analyzed for legitimacy." + }, + { + "name": "assessment-objective", + "id": "PRI-07.5_PRI-07.5_A04", + "prose": "a process exists to reject repetitious, or harassing, requests for access from data subjects." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dsp-18" + }, + { + "rel": "part-of", + "href": "#PRI-07" + } + ] + }, + { + "id": "PRI-08", + "title": "Personal Data (PD) Control Testing, Training & Monitoring", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to conduct testing, training and monitoring activities for Personal Data (PD) controls." + }, + { + "name": "assessment-objective", + "id": "PRI-08_PRI-08_A01", + "prose": "a process is implemented for ensuring that organizational plans for conducting cybersecurity / data privacy testing, training and monitoring activities associated with organizational systems are developed." + }, + { + "name": "assessment-objective", + "id": "PRI-08_PRI-08_A02", + "prose": "a process is implemented for ensuring that organizational plans for conducting cybersecurity / data privacy testing, training and monitoring activities associated with organizational systems are maintained." + }, + { + "name": "assessment-objective", + "id": "PRI-08_PRI-08_A03", + "prose": "a process is implemented for ensuring that organizational plans for conducting cybersecurity / data privacy testing, training and monitoring activities associated with organizational systems continue to be executed." + }, + { + "name": "assessment-objective", + "id": "PRI-08_PRI-08_A04", + "prose": "testing plans are reviewed for consistency with the organizational risk management strategy." + }, + { + "name": "assessment-objective", + "id": "PRI-08_PRI-08_A05", + "prose": "training plans are reviewed for consistency with the organizational risk management strategy." + }, + { + "name": "assessment-objective", + "id": "PRI-08_PRI-08_A06", + "prose": "monitoring plans are reviewed for consistency with the organizational risk management strategy." + }, + { + "name": "assessment-objective", + "id": "PRI-08_PRI-08_A07", + "prose": "testing plans are reviewed for consistency with organization-wide priorities for risk response actions." + }, + { + "name": "assessment-objective", + "id": "PRI-08_PRI-08_A08", + "prose": "training plans are reviewed for consistency with organization-wide priorities for risk response actions." + }, + { + "name": "assessment-objective", + "id": "PRI-08_PRI-08_A09", + "prose": "monitoring plans are reviewed for consistency with organization-wide priorities for risk response actions." + }, + { + "name": "overview", + "class": "errata", + "prose": "- renamed\r\n- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.36" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.8" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_18.2.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.36" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ar-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pm-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pm-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pm-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pm-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pm-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pm-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pm-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:pm-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:pm-14" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:a3.1.4" + } + ] + }, + { + "id": "PRI-09", + "title": "Personal Data (PD) Lineage", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to maintain a process to document the lineage of Personal Data (PD) by recording how the organization collects, receives, processes, stores, transmits, shares, updates and/or disposes PD." + }, + { + "name": "assessment-objective", + "id": "PRI-09_PRI-09_A01", + "prose": "records of data disclosures and sharing are maintained." + }, + { + "name": "assessment-objective", + "id": "PRI-09_PRI-09_A02", + "prose": "records of data disclosures and sharing can be accessed for review or transmission/disclosure." + }, + { + "name": "assessment-objective", + "id": "PRI-09_PRI-09_A03", + "prose": "records of data provenance and lineage are maintained" + }, + { + "name": "assessment-objective", + "id": "PRI-09_PRI-09_A04", + "prose": "records of data provenance and lineage can be accessed for review or transmission/disclosure." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:cm.aw-p4" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:cm.aw-p6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-04-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sa-04-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-04-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:sa-04-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sa-04-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sa-04-12" + } + ] + }, + { + "id": "PRI-10", + "title": "Data Quality Management", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to manage the quality, utility, objectivity, integrity and impact determination and de-identification of sensitive/regulated data across the information lifecycle." + }, + { + "name": "assessment-objective", + "id": "PRI-10_PRI-10_A01", + "prose": "the responsibilities of the organization's data governance body are defined." + }, + { + "name": "assessment-objective", + "id": "PRI-10_PRI-10_A02", + "prose": "a data governance body is established." + }, + { + "name": "assessment-objective", + "id": "PRI-10_PRI-10_A03", + "prose": "the organization's data governance body consisting of roles with responsibilities is established." + }, + { + "name": "assessment-objective", + "id": "PRI-10_PRI-10_A04", + "prose": "the data integrity board/function reviews proposals to conduct or participate in a matching program." + }, + { + "name": "assessment-objective", + "id": "PRI-10_PRI-10_A05", + "prose": "the data integrity board/function conducts an annual review of all matching programs in which the agency has participated." + }, + { + "name": "assessment-objective", + "id": "PRI-10_PRI-10_A06", + "prose": "organization-wide policies for Personal Data (PD) quality management are developed and documented." + }, + { + "name": "assessment-objective", + "id": "PRI-10_PRI-10_A07", + "prose": "organization-wide procedures for Personal Data (PD) quality management are developed and documented." + }, + { + "name": "assessment-objective", + "id": "PRI-10_PRI-10_A08", + "prose": "the policies address reviewing the accuracy of Personal Data (PD) across the information life cycle." + }, + { + "name": "assessment-objective", + "id": "PRI-10_PRI-10_A09", + "prose": "the policies address reviewing the relevance of Personal Data (PD) across the information life cycle." + }, + { + "name": "assessment-objective", + "id": "PRI-10_PRI-10_A10", + "prose": "the policies address reviewing the timeliness of Personal Data (PD) across the information life cycle." + }, + { + "name": "assessment-objective", + "id": "PRI-10_PRI-10_A11", + "prose": "the policies address reviewing the completeness of Personal Data (PD) across the information life cycle." + }, + { + "name": "assessment-objective", + "id": "PRI-10_PRI-10_A12", + "prose": "the procedures address reviewing the accuracy of Personal Data (PD) across the information life cycle." + }, + { + "name": "assessment-objective", + "id": "PRI-10_PRI-10_A13", + "prose": "the procedures address reviewing the relevance of Personal Data (PD) across the information life cycle." + }, + { + "name": "assessment-objective", + "id": "PRI-10_PRI-10_A14", + "prose": "the procedures address reviewing the timeliness of Personal Data (PD) across the information life cycle." + }, + { + "name": "assessment-objective", + "id": "PRI-10_PRI-10_A15", + "prose": "the procedures address reviewing the completeness of Personal Data (PD) across the information life cycle." + }, + { + "name": "assessment-objective", + "id": "PRI-10_PRI-10_A16", + "prose": "the policies address correcting or deleting inaccurate or outdated Personal Data (PD)." + }, + { + "name": "assessment-objective", + "id": "PRI-10_PRI-10_A17", + "prose": "the procedures address correcting or deleting inaccurate or outdated Personal Data (PD)." + }, + { + "name": "assessment-objective", + "id": "PRI-10_PRI-10_A18", + "prose": "the policies address disseminating notice of corrected or deleted Personal Data (PD) to individuals or other appropriate entities." + }, + { + "name": "assessment-objective", + "id": "PRI-10_PRI-10_A19", + "prose": "the procedures address disseminating notice of corrected or deleted Personal Data (PD) to individuals or other appropriate entities." + }, + { + "name": "assessment-objective", + "id": "PRI-10_PRI-10_A20", + "prose": "the policies address appeals of adverse decisions on correction or deletion requests." + }, + { + "name": "assessment-objective", + "id": "PRI-10_PRI-10_A21", + "prose": "the procedures address appeals of adverse decisions on correction or deletion requests." + }, + { + "name": "assessment-objective", + "id": "PRI-10_PRI-10_A22", + "prose": "the roles of the organization's data governance body are defined." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:ct.po-p4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pm-22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pm-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pm-24" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pm-22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pm-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pm-24" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pm-22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pm-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pm-24" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pm-22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pm-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pm-24" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pm-22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pm-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pm-24" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pm-22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pm-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pm-24" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pm-22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pm-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:pm-22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:pm-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:pm-22" + } + ] + }, + { + "id": "PRI-10.1", + "title": "Data Quality Automation", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to support the evaluation of data quality across the information lifecycle." + }, + { + "name": "assessment-objective", + "id": "PRI-10.1_PRI-10.1_A01", + "prose": "automated mechanisms for tracking the processing purposes of Personal Data (PD) are defined." + }, + { + "name": "assessment-objective", + "id": "PRI-10.1_PRI-10.1_A02", + "prose": "the processing purposes of Personal Data (PD) are tracked using automated mechanisms." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pt-03-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pt-03-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pt-03-02" + }, + { + "rel": "part-of", + "href": "#PRI-10" + } + ] + }, + { + "id": "PRI-10.2", + "title": "Data Analytics Bias", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to evaluate its analytical processes for potential bias." + }, + { + "name": "assessment-objective", + "id": "PRI-10.2_PRI-10.2_A01", + "prose": "potential data analytics biases are defined." + }, + { + "name": "assessment-objective", + "id": "PRI-10.2_PRI-10.2_A02", + "prose": "the organization evaluates its analytical processes for potential data analytics bias." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "part-of", + "href": "#PRI-10" + } + ] + }, + { + "id": "PRI-11", + "title": "Data Tagging", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to issue data modeling guidelines to support tagging of sensitive/regulated data." + }, + { + "name": "assessment-objective", + "id": "PRI-11_PRI-11_A01", + "prose": "processing purposes to be contained in data tags are defined." + }, + { + "name": "assessment-objective", + "id": "PRI-11_PRI-11_A02", + "prose": "elements of Personal Data (PD) to be tagged are defined." + }, + { + "name": "assessment-objective", + "id": "PRI-11_PRI-11_A03", + "prose": "data tags containing processing purposes are attached to elements of Personal Data (PD)." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pt-03-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pt-03-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pt-03-01" + } + ] + }, + { + "id": "PRI-12", + "title": "Updating Personal Data (PD) Process", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to identify and record:\r\n(1) The process(es) used to update Personal Data (PD); and\r\n(2) The frequency that such updates occur." + }, + { + "name": "assessment-objective", + "id": "PRI-12_PRI-12_A01", + "prose": "processes to identify and record the method under which Personal Data (PD) is updated and the frequency that such updates occur are defined." + }, + { + "name": "assessment-objective", + "id": "PRI-12_PRI-12_A02", + "prose": "processes to identify and record the method under which Personal Data (PD) is updated and the frequency that such updates occur are implemented." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + } + ] + }, + { + "id": "PRI-12.1", + "title": "Enabling Data Subjects To Update Personal Data (PD)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to enable data subjects to update their Personal Data (PD)." + }, + { + "name": "assessment-objective", + "id": "PRI-12.1_PRI-12.1_A01", + "prose": "the capability, or processes, to enable data subjects to update their Personal Data (PD) is defined." + }, + { + "name": "assessment-objective", + "id": "PRI-12.1_PRI-12.1_A02", + "prose": "upon a validated request, data subjects are enabled to update their Personal Data (PD)." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#PRI-12" + } + ] + }, + { + "id": "PRI-13", + "title": "Data Management Board", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to establish a written charter for a Data Management Board (DMB) and assigned organization-defined roles to the DMB." + }, + { + "name": "assessment-objective", + "id": "PRI-13_PRI-13_A01", + "prose": "a data integrity board/function is established." + }, + { + "name": "assessment-objective", + "id": "PRI-13_PRI-13_A02", + "prose": "the data integrity board/function reviews proposals to conduct or participate in a matching program." + }, + { + "name": "assessment-objective", + "id": "PRI-13_PRI-13_A03", + "prose": "the data integrity board/function conducts an annual review of all matching programs in which the agency has participated." + }, + { + "name": "assessment-objective", + "id": "PRI-13_PRI-13_A04", + "prose": "the roles of the organization's data governance body are defined." + }, + { + "name": "assessment-objective", + "id": "PRI-13_PRI-13_A05", + "prose": "the responsibilities of the organization's data governance body are defined." + }, + { + "name": "assessment-objective", + "id": "PRI-13_PRI-13_A06", + "prose": "the organization's data governance body consisting of roles with responsibilities is established." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pm-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pm-24" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pm-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pm-24" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pm-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pm-24" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pm-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pm-24" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pm-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pm-24" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pm-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pm-24" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pm-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:pm-23" + } + ] + }, + { + "id": "PRI-14", + "title": "Documenting Data Processing Activities", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to document Personal Data (PD) processing activities that covers collection, receiving, processing, storage, transmission, sharing, updating and/or disposal actions with sufficient detail to demonstrate conformity with applicable statutory, regulatory and contractual requirements." + }, + { + "name": "assessment-objective", + "id": "PRI-14_PRI-14_A01", + "prose": "privacy reports are defined." + }, + { + "name": "assessment-objective", + "id": "PRI-14_PRI-14_A02", + "prose": "privacy oversight bodies are defined." + }, + { + "name": "assessment-objective", + "id": "PRI-14_PRI-14_A03", + "prose": "officials responsible for monitoring privacy program compliance are defined." + }, + { + "name": "assessment-objective", + "id": "PRI-14_PRI-14_A04", + "prose": "the frequency for reviewing and updating privacy reports is defined." + }, + { + "name": "assessment-objective", + "id": "PRI-14_PRI-14_A05", + "prose": "privacy reports are developed." + }, + { + "name": "assessment-objective", + "id": "PRI-14_PRI-14_A06", + "prose": "privacy reports are disseminated to oversight bodies to demonstrate accountability with statutory, regulatory and policy privacy mandates." + }, + { + "name": "assessment-objective", + "id": "PRI-14_PRI-14_A07", + "prose": "privacy reports are disseminated to officials." + }, + { + "name": "assessment-objective", + "id": "PRI-14_PRI-14_A08", + "prose": "privacy reports are disseminated to other personnel responsible for monitoring privacy program compliance." + }, + { + "name": "assessment-objective", + "id": "PRI-14_PRI-14_A09", + "prose": "privacy reports are reviewed / updated frequently." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_15" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:cm.aw-p4" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:cm.aw-p6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ar-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pm-27" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pm-27" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pm-27" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pm-27" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pm-27" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pm-27" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pm-27" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:pm-27" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:pm-27" + } + ] + }, + { + "id": "PRI-14.1", + "title": "Accounting of Disclosures", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to provide data subjects with an accounting of disclosures of their Personal Data (PD) controlled by:\r\n(1) The organization; and/or\r\n(2) Relevant third-parties that their PD was shared with." + }, + { + "name": "assessment-objective", + "id": "PRI-14.1_PRI-14.1_A01", + "prose": "an accurate accounting of disclosures of Personal Data (PD) is developed and maintained." + }, + { + "name": "assessment-objective", + "id": "PRI-14.1_PRI-14.1_A02", + "prose": "the accounting includes the date of each disclosure." + }, + { + "name": "assessment-objective", + "id": "PRI-14.1_PRI-14.1_A03", + "prose": "the accounting includes the nature of each disclosure." + }, + { + "name": "assessment-objective", + "id": "PRI-14.1_PRI-14.1_A04", + "prose": "the accounting includes the purpose of each disclosure." + }, + { + "name": "assessment-objective", + "id": "PRI-14.1_PRI-14.1_A05", + "prose": "the accounting includes the name of the individual or organization to whom the disclosure was made." + }, + { + "name": "assessment-objective", + "id": "PRI-14.1_PRI-14.1_A06", + "prose": "the accounting includes the address or other contact information of the individual or organization to whom the disclosure was made." + }, + { + "name": "assessment-objective", + "id": "PRI-14.1_PRI-14.1_A07", + "prose": "the accounting of disclosures is retained for the length of time that the Personal Data (PD) is maintained or five years after the disclosure is made, whichever is longer." + }, + { + "name": "assessment-objective", + "id": "PRI-14.1_PRI-14.1_A08", + "prose": "the accounting of disclosures is made available to the individual to whom the Personal Data (PD) relates upon request." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dsp-18" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:cm.aw-p4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ar-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pm-21" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pm-21" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pm-21" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pm-21" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pm-21" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pm-21" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pm-21" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:pm-21" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:pm-21" + }, + { + "rel": "part-of", + "href": "#PRI-14" + } + ] + }, + { + "id": "PRI-14.2", + "title": "Notification of Disclosure Request To Data Subject", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to notify data subjects of applicable legal requests to disclose Personal Data (PD)." + }, + { + "name": "assessment-objective", + "id": "PRI-14.2_PRI-14.2_A01", + "prose": "data subjects are provided notice of applicable legal requests to disclose their Personal Data (PD)." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dsp-18" + }, + { + "rel": "part-of", + "href": "#PRI-14" + } + ] + }, + { + "id": "PRI-15", + "title": "Register As A Data Controller and/or Data Processor", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to register as a data controller and/or data processor, including registering databases containing Personal Data (PD) with the appropriate Data Authority, when necessary." + }, + { + "name": "assessment-objective", + "id": "PRI-15_PRI-15_A01", + "prose": "a list of Data Authorities that require database registration is created and maintained." + }, + { + "name": "assessment-objective", + "id": "PRI-15_PRI-15_A02", + "prose": "as required by a law or regulation, databases containing Personal Data (PD) are registered with the appropriate Data Authority." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + } + ] + }, + { + "id": "PRI-16", + "title": "Potential Human Rights Abuses", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to constrain the supply of physical and/or digital activity logs to the host government that can directly lead to contravention of the Universal Declaration of Human Rights (UDHR), as well as other applicable statutory, regulatory and/or contractual obligations." + }, + { + "name": "assessment-objective", + "id": "PRI-16_PRI-16_A01", + "prose": "executive leadership, along with legal counsel, formally identifies risks associated with non-compliance (e.g., fines, operational impacts, etc.)." + }, + { + "name": "assessment-objective", + "id": "PRI-16_PRI-16_A02", + "prose": "executive leadership, along with legal counsel, formally identifies primary risks associated with compliance (e.g., loss of confidentiality and/or integrity considerations with data governance)." + }, + { + "name": "assessment-objective", + "id": "PRI-16_PRI-16_A03", + "prose": "executive leadership, along with legal counsel, formally identifies secondary risks associated with compliance (e.g., non-compliance with other laws, regulations and contractual agreements)." + }, + { + "name": "assessment-objective", + "id": "PRI-16_PRI-16_A04", + "prose": "executive leadership, along with legal counsel, formally identifies tertiary risks associated with compliance (e.g., human rights abuses, theft of intellectual property, espionage, etc.)." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + } + ] + }, + { + "id": "PRI-17", + "title": "Data Subject Communications", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to craft disclosures and communications to data subjects in a manner that is concise, unambiguous and understandable by a reasonable person." + }, + { + "name": "assessment-objective", + "id": "PRI-17_PRI-17_A01", + "prose": "disclosures and communications to data subjects are made easily accessible." + }, + { + "name": "assessment-objective", + "id": "PRI-17_PRI-17_A02", + "prose": "disclosures and communications to data subjects are written in a manner that is concise, unambiguous and understandable by a reasonable person." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + } + ] + }, + { + "id": "PRI-17.1", + "title": "Conspicuous Link To Data Privacy Notice", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to include a conspicuous link to the organization's data privacy notice on all consumer-facing websites and mobile applications." + }, + { + "name": "assessment-objective", + "id": "PRI-17.1_PRI-17.1_A01", + "prose": "a conspicuous link to the organization's privacy notice exists on all consumer-facing websites." + }, + { + "name": "assessment-objective", + "id": "PRI-17.1_PRI-17.1_A02", + "prose": "a conspicuous link to the organization's privacy notice exists on all consumer-facing mobile applications." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#PRI-17" + } + ] + }, + { + "id": "PRI-17.2", + "title": "Notice of Financial Incentive", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to provide data subjects with a Notice of Financial Incentive that explains the material terms of a financial incentive, price or service difference so the data subject can make an informed decision about whether to participate." + }, + { + "name": "assessment-objective", + "id": "PRI-17.2_PRI-17.2_A01", + "prose": "data subjects are provided with a Notice of Financial Incentive that explains the material terms of a financial incentive, price or service difference so the data subject can make an informed decision about whether to participate." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "part-of", + "href": "#PRI-17" + } + ] + }, + { + "id": "PRI-17.3", + "title": "Data Subject Communications Documentation", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to maintain records of data subject requests and responses in accordance with an established documentation retention schedule that adheres to applicable statutory, regulatory and/or contractual obligations." + }, + { + "name": "assessment-objective", + "id": "PRI-17.3_PRI-17.3_A01", + "prose": "the timeline to maintain records of data subject requests and responses adhere to applicable statutory, regulatory and/or contractual obligations is defined." + }, + { + "name": "assessment-objective", + "id": "PRI-17.3_PRI-17.3_A02", + "prose": "records of data subject requests and responses are retained in accordance with an established documentation retention schedule that adheres to applicable statutory, regulatory and/or contractual obligations." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#PRI-17" + } + ] + }, + { + "id": "PRI-17.4", + "title": "Data Subject Communications Metrics", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to collect metrics associated with data subject requests and responses." + }, + { + "name": "assessment-objective", + "id": "PRI-17.4_PRI-17.4_A01", + "prose": "metrics associated with data subject requests and responses are defined." + }, + { + "name": "assessment-objective", + "id": "PRI-17.4_PRI-17.4_A02", + "prose": "metrics associated with data subject requests and responses are collected." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#PRI-17" + } + ] + }, + { + "id": "PRI-17.5", + "title": "Data Subject Communications Disclosure", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to publicly disclose applicable data subject communications metrics, as required by statutory and/or regulatory obligations." + }, + { + "name": "assessment-objective", + "id": "PRI-17.5_PRI-17.5_A01", + "prose": "applicable statutory and/or regulatory obligations to publicly disclose data subject communications metrics are identified." + }, + { + "name": "assessment-objective", + "id": "PRI-17.5_PRI-17.5_A02", + "prose": "applicable data subject communications metrics are publicly disclosed, as required by statutory and/or regulatory obligations." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#PRI-17" + } + ] + }, + { + "id": "PRI-18", + "title": "Data Controller Communications", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.33", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.34", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.35", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.36", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.37", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.38", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.39", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to receive and process data controller communications pertaining to:\r\n(1) Receiving and responding to data subject requests;\r\n(2) Updating/correcting Personal Data (PD); \r\n(3) Accounting for disclosures of PD; and\r\n(4) Accounting for PD that is stored, processed and/or transmitted on behalf of the data controller." + }, + { + "name": "assessment-objective", + "id": "PRI-18_PRI-18_A01", + "prose": "the organization has processes to respond to data controls communications pertaining to data subject requests." + }, + { + "name": "assessment-objective", + "id": "PRI-18_PRI-18_A02", + "prose": "the organization has processes to respond to data controls communications pertaining to updating/correcting Personal Data (PD) under its control." + }, + { + "name": "assessment-objective", + "id": "PRI-18_PRI-18_A03", + "prose": "the organization has processes to respond to data controls communications pertaining to the disclosure of Personal Data (PD)." + }, + { + "name": "assessment-objective", + "id": "PRI-18_PRI-18_A04", + "prose": "the organization has processes to respond to data controls communications pertaining to accounting for Personal Data (PD) that is stored, processed and/or transmitted on behalf of the data controller." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + } + ] + }, + { + "id": "PRI-19", + "title": "Automated Decision-Making Technology (ADMT) For Data Subject Actions", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure data subject actions utilizing Automated Decision-Making Technology (ADMT) where computation replaces, or substantially replaces, human decisionmaking, conforms with all applicable statutory, regulatory and/or contractual obligations." + }, + { + "name": "assessment-objective", + "id": "PRI-19_PRI-19_A01", + "prose": "Automated Decision-Making Technology (ADMT), where computation replaces, or substantially replaces, human decision-making for data subject actions, are identified." + }, + { + "name": "assessment-objective", + "id": "PRI-19_PRI-19_A02", + "prose": "applicable statutory, regulatory and/or contractual obligations for Automated Decision-Making Technology (ADMT), where computation replaces, or substantially replaces, human decision-making for data subject actions, are identified." + }, + { + "name": "assessment-objective", + "id": "PRI-19_PRI-19_A03", + "prose": "the use of Automated Decision-Making Technology (ADMT), where computation replaces, or substantially replaces, human decision-making for data subject actions, conforms with all applicable statutory, regulatory and/or contractual obligations." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + } + ] + }, + { + "id": "PRI-19.1", + "title": "Automated Decision-Making Technology (ADMT) Use Notification", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to notify data subjects of their rights through a pre-use notice when their Personal Data (PD) will be processed by an Automated Decision-Making Technology (ADMT)." + }, + { + "name": "assessment-objective", + "id": "PRI-19.1_PRI-19.1_A01", + "prose": "processes using Automated Decision-Making Technology (ADMT) are identified." + }, + { + "name": "assessment-objective", + "id": "PRI-19.1_PRI-19.1_A02", + "prose": "data subjects are notified of their rights through a pre-use notice when their Personal Data (PD) will be processed by an Automated Decision-Making Technology (ADMT)." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#PRI-19" + } + ] + }, + { + "id": "PRI-19.2", + "title": "Automated Decision-Making Technology (ADMT) Opt-Out Consent", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to provide concise, unambiguous and understandable instructions on how data subjects can opt-out of Automated Decision-Making Technology (ADMT)." + }, + { + "name": "assessment-objective", + "id": "PRI-19.2_PRI-19.2_A01", + "prose": "data subject-focused instructions pertaining to Automated Decision-Making Technology (ADMT) are documented." + }, + { + "name": "assessment-objective", + "id": "PRI-19.2_PRI-19.2_A02", + "prose": "data subjects are provided concise, unambiguous and understandable instructions on how a data subjects can opt-out of Automated Decision-Making Technology (ADMT)." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#PRI-19" + } + ] + }, + { + "id": "PRI-19.3", + "title": "Automated Decision-Making Technology (ADMT) Transparency", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to provide data subjects with sufficient details of the logic and parameters used by Automated Decision-Making Technology (ADMT) to process the Personal Data (PD) to generate an output with respect to the data subject." + }, + { + "name": "assessment-objective", + "id": "PRI-19.3_PRI-19.3_A01", + "prose": "sufficient details of the logic and parameters used by Automated Decision-Making Technology (ADMT) to process the Personal Data (PD) to generate an output with respect to the data subject are documented." + }, + { + "name": "assessment-objective", + "id": "PRI-19.3_PRI-19.3_A02", + "prose": "data subjects are provided with sufficient details of the logic and parameters used by Automated Decision-Making Technology (ADMT) to process the Personal Data (PD) to generate an output with respect to the data subject." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#PRI-19" + } + ] + }, + { + "id": "PRI-20", + "title": "Data Brokers", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure data brokers that collect Personal Data (PD) from a source other than directly from the data subject adhere to all applicable statutory, regulatory and/or contractual obligations." + }, + { + "name": "assessment-objective", + "id": "PRI-20_PRI-20_A01", + "prose": "sources of Personal Data (PD) other than directly from a data subject are documented." + }, + { + "name": "assessment-objective", + "id": "PRI-20_PRI-20_A02", + "prose": "formal contracts exist with data brokers." + }, + { + "name": "assessment-objective", + "id": "PRI-20_PRI-20_A03", + "prose": "data brokers that collect Personal Data (PD) from a source other than directly from the data subject are required to adhere to all applicable statutory, regulatory and/or contractual obligations." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + } + ] + }, + { + "id": "PRI-21", + "title": "Notice of Right To Opt-Out", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to include a notification to data subjects within the data privacy notice of:\r\n(1) Their right to direct an organization that sells or shares their Personal Data (PD) to stop selling or sharing their PD; and\r\n(2) The methods available to exercise that right." + }, + { + "name": "assessment-objective", + "id": "PRI-21_PRI-21_A01", + "prose": "data privacy notices inform data subjects of their right to direct an organization that sells or shares their Personal Data (PD) to stop selling or sharing their PD." + }, + { + "name": "assessment-objective", + "id": "PRI-21_PRI-21_A02", + "prose": "data privacy notices inform data subjects of methods available to exercise that right to direct an organization to stop selling or sharing their Personal Data (PD)." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + } + ] + }, + { + "id": "PRI-21.1", + "title": "Opt-Out Links", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to publish conspicuous links for data subjects to exercise their rights to:\r\n(1) Limit the collection and/or use of Personal Data (PD); and\r\n(2) Not sell or share PD." + }, + { + "name": "assessment-objective", + "id": "PRI-21.1_PRI-21.1_A01", + "prose": "conspicuous links are published for data subjects to exercise their rights to limit the collection and/or use of Personal Data (PD)." + }, + { + "name": "assessment-objective", + "id": "PRI-21.1_PRI-21.1_A02", + "prose": "conspicuous links are published for data subjects to exercise their rights for their Personal Data (PD) to not be sold and/or shared." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#PRI-21" + } + ] + }, + { + "id": "PRI-21.2", + "title": "Alternative Out-Out Link", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to publish a single, clearly-labeled link that allows data subjects to efficiently exercise their opt-out rights to:\r\n(1) Limit the collection and/or use of Personal Data (PD); and\r\n(2) Not sell or share PD." + }, + { + "name": "assessment-objective", + "id": "PRI-21.2_PRI-21.2_A01", + "prose": "a single, clearly-labeled link is published that allows data subjects to efficiently exercise their opt-out rights to limit the collection and/or use of Personal Data (PD)." + }, + { + "name": "assessment-objective", + "id": "PRI-21.2_PRI-21.2_A02", + "prose": "a single, clearly-labeled link is published that allows data subjects to efficiently exercise their opt-out rights for their Personal Data (PD) to not be sold and/or shared." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#PRI-21" + } + ] + } + ] + }, + { + "id": "project-resource-management", + "title": "Project & Resource Management", + "controls": [ + { + "id": "PRM-01", + "title": "Security, Compliance & Resilience Protection Portfolio Management", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "PRM-01" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.33", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.34", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.35", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.36", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.37", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.38", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to facilitate the implementation of resource planning controls that provide a portfolio management approach to achieve security, compliance and resilience objectives." + }, + { + "name": "assessment-objective", + "id": "PRM-01_PRM-01_A01", + "prose": "the organization-defined official is designated to manage the development, documentation, and dissemination of the planning policy and procedures." + }, + { + "name": "assessment-objective", + "id": "PRM-01_PRM-01_A02", + "prose": "planning procedures facilitate the implementation of the planning policy and associated planning controls are developed and documented." + }, + { + "name": "assessment-objective", + "id": "PRM-01_PRM-01_A03", + "prose": "personnel or roles to whom the planning policy is to be disseminated is/are defined." + }, + { + "name": "assessment-objective", + "id": "PRM-01_PRM-01_A04", + "prose": "personnel or roles to whom the planning procedures are to be disseminated is/are defined." + }, + { + "name": "assessment-objective", + "id": "PRM-01_PRM-01_A05", + "prose": "one or more of the following organization-defined criteria is/are selected: mission/business process-level /system-level." + }, + { + "name": "assessment-objective", + "id": "PRM-01_PRM-01_A06", + "prose": "an official to manage the planning policy and procedures is defined." + }, + { + "name": "assessment-objective", + "id": "PRM-01_PRM-01_A07", + "prose": "the frequency with which the current planning policy is reviewed / updated is defined." + }, + { + "name": "assessment-objective", + "id": "PRM-01_PRM-01_A08", + "prose": "events that would require the current planning policy to be reviewed / updated are defined." + }, + { + "name": "assessment-objective", + "id": "PRM-01_PRM-01_A09", + "prose": "the frequency with which the current planning procedures are reviewed / updated is defined." + }, + { + "name": "assessment-objective", + "id": "PRM-01_PRM-01_A10", + "prose": "events that would require procedures to be reviewed / updated are defined." + }, + { + "name": "assessment-objective", + "id": "PRM-01_PRM-01_A11", + "prose": "a planning policy is developed and documented." + }, + { + "name": "assessment-objective", + "id": "PRM-01_PRM-01_A12", + "prose": "the planning policy is disseminated to organization-defined personnel or roles." + }, + { + "name": "assessment-objective", + "id": "PRM-01_PRM-01_A13", + "prose": "the planning procedures are disseminated to organization-defined personnel or roles." + }, + { + "name": "assessment-objective", + "id": "PRM-01_PRM-01_A14", + "prose": "the organization's planning policy addresses purpose." + }, + { + "name": "assessment-objective", + "id": "PRM-01_PRM-01_A15", + "prose": "the organization's planning policy addresses scope." + }, + { + "name": "assessment-objective", + "id": "PRM-01_PRM-01_A16", + "prose": "the organization's planning policy addresses roles." + }, + { + "name": "assessment-objective", + "id": "PRM-01_PRM-01_A17", + "prose": "the organization's planning policy addresses responsibilities." + }, + { + "name": "assessment-objective", + "id": "PRM-01_PRM-01_A18", + "prose": "the organization's planning policy addresses management commitment." + }, + { + "name": "assessment-objective", + "id": "PRM-01_PRM-01_A19", + "prose": "the organization's planning policy addresses coordination among organizational entities." + }, + { + "name": "assessment-objective", + "id": "PRM-01_PRM-01_A20", + "prose": "the organization's planning policy addresses compliance." + }, + { + "name": "assessment-objective", + "id": "PRM-01_PRM-01_A21", + "prose": "the organization's planning policy is consistent with applicable laws, Executive Orders, directives, regulations, policies, standards, and guidelines." + }, + { + "name": "assessment-objective", + "id": "PRM-01_PRM-01_A22", + "prose": "the current planning policy is reviewed / updated organization-defined frequency." + }, + { + "name": "assessment-objective", + "id": "PRM-01_PRM-01_A23", + "prose": "the current planning policy is reviewed / updated following organization-defined events." + }, + { + "name": "assessment-objective", + "id": "PRM-01_PRM-01_A24", + "prose": "the current planning procedures are reviewed / updated organization-defined frequency." + }, + { + "name": "assessment-objective", + "id": "PRM-01_PRM-01_A25", + "prose": "the current planning procedures are reviewed / updated following organization-defined events." + }, + { + "name": "assessment-objective", + "id": "PRM-01_PRM-01_A26", + "prose": "Project & Resource Management (PRM) operations are conducted according to documented policies, standards, procedures and/or other organizational directives." + }, + { + "name": "assessment-objective", + "id": "PRM-01_PRM-01_A27", + "prose": "adequate resources (e.g., people, processes, technologies, data and/or facilities) are provided to support Project & Resource Management (PRM) operations." + }, + { + "name": "assessment-objective", + "id": "PRM-01_PRM-01_A28", + "prose": "responsibility and authority for the performance of Project & Resource Management (PRM)-related activities are assigned to designated personnel." + }, + { + "name": "assessment-objective", + "id": "PRM-01_PRM-01_A29", + "prose": "personnel performing Project & Resource Management (PRM)-related activities have the skills and knowledge needed to perform their assigned duties." + }, + { + "name": "overview", + "class": "errata", + "prose": "- renamed\r\n- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:edm02.01" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:edm02.02" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:edm02.03" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:edm02.04" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:edm04.01" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:edm04.02" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:edm04.03" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo05.01" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo05.02" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo05.03" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo05.04" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo05.05" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo12.05" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai01.05" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai01.08" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai01.09" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai02.02" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai02.04" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_6" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_9" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_14" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_6.2.1" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_6.2.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_5.1-e" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.8" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_5.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_6.1.5" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_7.2.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.8" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_7.1" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_5.3" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_5.4.4" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_7.1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.4.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.6.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:manage-2.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:manage-2.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:pl-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pl-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pl-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:pl-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pl-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pl-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:pl-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:pl-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:nfo-pl-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.16.01" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.rm" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.rr-03" + } + ] + }, + { + "id": "PRM-01.1", + "title": "Strategic Plan & Objectives", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "PRM-01.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to establish a:\r\n(1) Strategic security, compliance and resilience-specific business plan; and \r\n(2) Set of objectives to achieve that plan." + }, + { + "name": "assessment-objective", + "id": "PRM-01.1_PRM-01.1_A01", + "prose": "a documented strategic cybersecurity / data privacy-specific business plan exists." + }, + { + "name": "assessment-objective", + "id": "PRM-01.1_PRM-01.1_A02", + "prose": "a documented set of objectives to achieve that cybersecurity and privacy-specific business plan exists." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo01.01" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo01.02" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo01.03" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo02.02" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo02.05" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo02.06" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_6.2.1" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_5.3" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_5.4.1" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_5.4.4" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_4.1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_4.2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:map-1.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-37-r2:task-p-8" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.oc-04" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.rm" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.ov-01" + }, + { + "rel": "part-of", + "href": "#PRM-01" + } + ] + }, + { + "id": "PRM-01.2", + "title": "Targeted Capability Maturity Levels", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to define and identify targeted capability maturity levels." + }, + { + "name": "assessment-objective", + "id": "PRM-01.2_PRM-01.2_A01", + "prose": "the organization defines a Capability Maturity Model (CMM) it will use to benchmark maturity." + }, + { + "name": "assessment-objective", + "id": "PRM-01.2_PRM-01.2_A02", + "prose": "targeted capability maturity levels are defined at the domain and/or control level." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo02.03" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo02.05" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_6.2.1" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_5.4.4" + }, + { + "rel": "part-of", + "href": "#PRM-01" + } + ] + }, + { + "id": "PRM-02", + "title": "Security, Compliance & Resilience Resource Management", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "PRM-02" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to address all capital planning and investment requests, including the resources needed to implement the Security, Compliance & Resilience Program (SCRP) and document all exceptions to this requirement." + }, + { + "name": "assessment-objective", + "id": "PRM-02_PRM-02_A01", + "prose": "the resources needed to implement the cybersecurity / data privacy program are included in capital planning and investment requests and all exceptions are documented." + }, + { + "name": "assessment-objective", + "id": "PRM-02_PRM-02_A02", + "prose": "the documentation required for addressing the cybersecurity / data privacy program in capital planning and investment requests is prepared in accordance with applicable laws, executive orders, directives, policies, regulations, standards." + }, + { + "name": "assessment-objective", + "id": "PRM-02_PRM-02_A03", + "prose": "cybersecurity / data privacy resources are made available for expenditure as planned." + }, + { + "name": "overview", + "class": "errata", + "prose": "- renamed\r\n- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:edm02.01" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:edm02.02" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:edm02.03" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:edm02.04" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:edm04.01" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:edm04.02" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:edm04.03" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_6.3-c" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_6.3-d" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_7.1" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.3.4" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.3.4-a" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.3.4-b" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.3.4-c" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.3.4-d" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.3.4-e" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.3.4-f" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.3.4-g" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.3.4-h" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_5.1-c" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_5.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_7.2.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_7.1" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_5.4.4" + }, + { + "rel": "mapped-to", + "href": "#iso-31010-2009:_6.3" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_5.1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_7.1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.6.2.2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:manage-2.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:pm-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pm-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pm-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pm-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pm-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pm-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pm-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pm-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:pm-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:pm-3" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.rr-03" + } + ] + }, + { + "id": "PRM-02.1", + "title": "Prioritization To Address Evolving Risks & Threats", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to integrate foundational cybersecurity practices with advanced technologies to maintain situation awareness of and minimize the organization's exposure to evolving risks and threats." + }, + { + "name": "assessment-objective", + "id": "PRM-02.1_PRM-02.1_A01", + "prose": "foundational cybersecurity practices are defined." + }, + { + "name": "assessment-objective", + "id": "PRM-02.1_PRM-02.1_A02", + "prose": "foundational cybersecurity practices are integrated with advanced technologies to maintain situation awareness of and minimize the organization's exposure to evolving risks and threats." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo12.05" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai01.07" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai01.08" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai01.09" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai02.03" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai11.06" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_5.3" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_5.4.4" + }, + { + "rel": "mapped-to", + "href": "#iso-31010-2009:_4.3.2" + }, + { + "rel": "mapped-to", + "href": "#iso-31010-2009:_6.3" + }, + { + "rel": "part-of", + "href": "#PRM-02" + } + ] + }, + { + "id": "PRM-03", + "title": "Allocation of Resources", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "PRM-03" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to identify and allocate resources for management, operational, technical and data protection requirements within business process planning for projects / initiatives." + }, + { + "name": "assessment-objective", + "id": "PRM-03_PRM-03_A01", + "prose": "the high-level cybersecurity / data privacy requirements for the system or system service are determined in mission and business process planning." + }, + { + "name": "assessment-objective", + "id": "PRM-03_PRM-03_A02", + "prose": "the resources required to protect the system or system service are determined and documented as part of the organizational capital planning and investment control process." + }, + { + "name": "assessment-objective", + "id": "PRM-03_PRM-03_A03", + "prose": "the resources required to protect the system or system service are allocated as part of the organizational capital planning and investment control process." + }, + { + "name": "assessment-objective", + "id": "PRM-03_PRM-03_A04", + "prose": "a discrete line item for is established in organizational programming and budgeting documentation." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:edm02.01" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:edm02.02" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:edm02.03" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:edm02.04" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:edm04.01" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:edm04.02" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:edm04.03" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo06.01" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo06.02" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo06.03" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo06.04" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo06.05" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai01.05" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_16" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_5.3" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_5.4.4" + }, + { + "rel": "mapped-to", + "href": "#iso-31010-2009:_4.3.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_5.1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_7.1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.4.2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:manage-2.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sa-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sa-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:sa-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:sa-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sa-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sa-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sa-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:sa-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:sa-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sa-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:nfo-sa-2" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.rr-03" + } + ] + }, + { + "id": "PRM-04", + "title": "Security, Compliance & Resilience In Project Management", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "PRM-04" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.33", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.34", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.35", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.36", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.37", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.38", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.39", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to assess security, compliance and resilience controls in system project development to determine the extent to which the controls are implemented correctly, operating as intended and producing the desired outcome with respect to meeting the requirements." + }, + { + "name": "assessment-objective", + "id": "PRM-04_PRM-04_A01", + "prose": "controls are assessed in the system and its environment of operation per an organization-defined assessment frequency to determine the extent to which the controls are implemented correctly, operating as intended and producing the desired outcome with respect to meeting established cybersecurity / data privacy requirements." + }, + { + "name": "assessment-objective", + "id": "PRM-04_PRM-04_A02", + "prose": "an appropriate assessor or assessment team is selected for the type of assessment to be conducted." + }, + { + "name": "assessment-objective", + "id": "PRM-04_PRM-04_A03", + "prose": "a control assessment report is produced that documents the results of the assessment." + }, + { + "name": "assessment-objective", + "id": "PRM-04_PRM-04_A04", + "prose": "the results of the control assessment are provided to individuals or roles." + }, + { + "name": "assessment-objective", + "id": "PRM-04_PRM-04_A05", + "prose": "the frequency at which to assess controls in the system and its environment of operation is defined." + }, + { + "name": "assessment-objective", + "id": "PRM-04_PRM-04_A06", + "prose": "individuals or roles to whom control assessment results are to be provided are defined." + }, + { + "name": "assessment-objective", + "id": "PRM-04_PRM-04_A07", + "prose": "a control assessment plan is developed that describes the scope of the assessment, including controls and control enhancements under assessment." + }, + { + "name": "assessment-objective", + "id": "PRM-04_PRM-04_A08", + "prose": "a control assessment plan is developed that describes the scope of the assessment, including assessment procedures to be used to determine control effectiveness." + }, + { + "name": "assessment-objective", + "id": "PRM-04_PRM-04_A09", + "prose": "a control assessment plan is developed that describes the scope of the assessment, including the assessment environment." + }, + { + "name": "assessment-objective", + "id": "PRM-04_PRM-04_A10", + "prose": "a control assessment plan is developed that describes the scope of the assessment, including the assessment team." + }, + { + "name": "assessment-objective", + "id": "PRM-04_PRM-04_A11", + "prose": "a control assessment plan is developed that describes the scope of the assessment, including assessment roles and responsibilities." + }, + { + "name": "assessment-objective", + "id": "PRM-04_PRM-04_A12", + "prose": "the control assessment plan is reviewed and approved by the authorizing official or designated representative prior to conducting the assessment." + }, + { + "name": "overview", + "class": "errata", + "prose": "- renamed\r\n- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:edm03.01" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai01.01" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai01.02" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai01.03" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai01.04" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai01.06" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai03.01" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai03.02" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai11.01" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai11.02" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai11.03" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai11.04" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai11.05" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai11.06" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai11.07" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai11.08" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai11.09" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_6" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_11" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_16" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:lgl-02" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-06-01" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.8" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_6.1.5" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.8" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_5.3" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_5.4.2" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_5.4.4" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_5.4.5" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_6.2" + }, + { + "rel": "mapped-to", + "href": "#iso-31010-2009:_4.3.2" + }, + { + "rel": "mapped-to", + "href": "#iso-31010-2009:_5.7" + }, + { + "rel": "mapped-to", + "href": "#iso-31010-2009:_6.6" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_7.4" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.4.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.6.2.2" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:ct.po-p1" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:ct.po-p4" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:cm.aw-p3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ca-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ca-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ca-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ca-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ca-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ca-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ca-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ca-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ca-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:ca-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ca-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ca-2" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a06-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.1" + } + ] + }, + { + "id": "PRM-05", + "title": "Security, Compliance & Resilience Requirements Definition", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "PRM-05" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to identify critical system components and functions by performing a criticality analysis for critical Technology Assets, Applications and/or Services (TAAS) at pre-defined decision points in the Secure Development Life Cycle (SDLC)." + }, + { + "name": "assessment-objective", + "id": "PRM-05_PRM-05_A01", + "prose": "systems, system components or system services to be analyzed for criticality are defined." + }, + { + "name": "assessment-objective", + "id": "PRM-05_PRM-05_A02", + "prose": "decision points in the system development life cycle when a criticality analysis is to be performed are defined." + }, + { + "name": "assessment-objective", + "id": "PRM-05_PRM-05_A03", + "prose": "critical system components and functions are identified by performing a criticality analysis for systems, system components or system services at decision points in the system development life cycle." + }, + { + "name": "overview", + "class": "errata", + "prose": "- renamed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_15.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_15.7" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo01.10" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo08.01" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai01.04" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai02.01" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai03.01" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai03.03" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai03.04" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_11" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_14" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_16" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:lgl-01" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:lgl-02" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:lgl-03" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:lgl-04" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:lgl-05" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:lgl-06" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:lgl-07" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:lgl-08" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-06-02" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-06-02-a" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-06-02-b" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-06-02-c" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-06-03" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-06-03-a" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-06-03-b" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-06-03-c" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-06-03-d" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-06-03-e" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-06-03-f" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-06-19" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-06-33-c" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-10-02" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.8" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.9" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.26" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_6.1.5" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_8.1.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_14.1.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.8" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.9" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.26" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_6.1.1" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_5.4.1" + }, + { + "rel": "mapped-to", + "href": "#iso-31010-2009:_4.3.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_4.1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_4.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.4.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.6.2.2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:map-1.6" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:ct.po-p1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-37-r2:task-p-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sa-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ra-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ra-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:ra-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ra-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:ra-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ra-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:ra-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:ra-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ra-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ra-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.16.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:po.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:po.1.1" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a06-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.1" + } + ] + }, + { + "id": "PRM-06", + "title": "Business Process Definition", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to define business processes with consideration for security, compliance and resilience that determines: \r\n(1) The resulting risk to organizational operations, assets, individuals and other organizations; and\r\n(2) Information protection needs arising from the defined business processes and revises the processes as necessary, until an achievable set of protection needs is obtained." + }, + { + "name": "assessment-objective", + "id": "PRM-06_PRM-06_A01", + "prose": "organizational mission and business processes are defined with consideration for cybersecurity / data privacy." + }, + { + "name": "assessment-objective", + "id": "PRM-06_PRM-06_A02", + "prose": "organizational mission and business processes are defined with consideration for the resulting risk to organizational operations, organizational assets, individuals, other organizations and the Nation." + }, + { + "name": "assessment-objective", + "id": "PRM-06_PRM-06_A03", + "prose": "the frequency at which to review and revise the mission and business processes is defined." + }, + { + "name": "assessment-objective", + "id": "PRM-06_PRM-06_A04", + "prose": "information protection needs arising from the defined mission and business processes are determined." + }, + { + "name": "assessment-objective", + "id": "PRM-06_PRM-06_A05", + "prose": "Personal Data (PD) processing needs arising from the defined mission and business processes are determined." + }, + { + "name": "assessment-objective", + "id": "PRM-06_PRM-06_A06", + "prose": "the mission and business processes are reviewed and revised per an organization-defined frequency." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_15.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_15.7" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo01.10" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo08.01" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai01.04" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai02.01" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai03.01" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai04.03" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_3" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_6" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_9" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_10" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_11" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_16" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:lgl-02" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:lgl-03" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:lgl-04" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:lgl-05" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:lgl-06" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:lgl-07" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:lgl-08" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_4.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_4.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_4.2-a" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_4.2-b" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_4.2-c" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_6.1.1" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_5.4.1" + }, + { + "rel": "mapped-to", + "href": "#iso-31010-2009:_4.3.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_4.1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_4.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_7.4" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:map-1.0" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:map-1.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:map-1.4" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:map-2.1" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:id.im-p5" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:id.be-p1" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:id.be-p3" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:gv.rm-p3" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:ct.po-p1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-37-r2:task-p-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:pm-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pm-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pm-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pm-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pm-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pm-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pm-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pm-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:pm-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:pm-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:pm-11" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a06-2025" + } + ] + }, + { + "id": "PRM-07", + "title": "Secure Development Life Cycle (SDLC) Management", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "PRM-07" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.33", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.34", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.35", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.36", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.37", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.38", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.39", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure changes to Technology Assets, Applications and/or Services (TAAS) within the Secure Development Life Cycle (SDLC) are controlled through formal change control procedures." + }, + { + "name": "assessment-objective", + "id": "PRM-07_PRM-07_A01", + "prose": "system development life cycle is defined." + }, + { + "name": "assessment-objective", + "id": "PRM-07_PRM-07_A02", + "prose": "the system is acquired, developed and managed using organization-defined system-development life cycle that incorporates information cybersecurity / data privacy considerations." + }, + { + "name": "assessment-objective", + "id": "PRM-07_PRM-07_A03", + "prose": "cybersecurity / data privacy roles and responsibilities are defined and documented throughout the system development life cycle." + }, + { + "name": "assessment-objective", + "id": "PRM-07_PRM-07_A04", + "prose": "individuals with cybersecurity / data privacy roles and responsibilities are identified." + }, + { + "name": "assessment-objective", + "id": "PRM-07_PRM-07_A05", + "prose": "organizational cybersecurity / data privacy risk management processes are integrated into system development life cycle activities." + }, + { + "name": "assessment-objective", + "id": "PRM-07_PRM-07_A06", + "prose": "system pre-production environments are protected commensurate with risk throughout the system development life cycle for the system, system component or system service." + }, + { + "name": "assessment-objective", + "id": "PRM-07_PRM-07_A07", + "prose": "systems or system components that implement the security design principle of procedural rigor are defined." + }, + { + "name": "assessment-objective", + "id": "PRM-07_PRM-07_A08", + "prose": "systems or system components implement the security design principle of procedural rigor." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_15.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_15.7" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai01.01" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai01.02" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai01.03" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai02.04" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai03.09" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai03.11" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai04.03" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai05.01" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai05.07" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai09.03" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_11" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:ais-04" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:lgl-02" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:lgl-03" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:lgl-04" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:lgl-05" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:lgl-06" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:lgl-07" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:pol-04" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.8" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.25" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.32" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_6.1.5" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_12.1.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_14.2.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.8" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.25" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.32" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_5.3" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_5.4.2" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_5.4.5" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_6.2" + }, + { + "rel": "mapped-to", + "href": "#iso-31010-2009:_4.3.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.3.3" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.4.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.6.2.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.6.2.7" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.6.2.8" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-1.7" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:manage-2.2" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:ct.po-p1" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:ct.po-p4" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:cm.aw-p3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-37-r2:task-p-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-37-r2:task-m-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sa-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-03-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-08-30" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sa-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sa-03-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sa-08-30" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:sa-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-03-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-08-30" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:sa-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sa-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sa-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sa-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:sa-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:sa-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sa-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sa-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:nfo-sa-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:po.1" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-09" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.am-08" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ps-02" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ps-03" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a06-2025" + } + ] + }, + { + "id": "PRM-08", + "title": "Manage Organizational Knowledge", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.33", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.34", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.35", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.36", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.37", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.38", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to manage the organizational knowledge of the security, compliance and resilience staff." + }, + { + "name": "assessment-objective", + "id": "PRM-08_PRM-08_A01", + "prose": "critical organizational knowledge is defined." + }, + { + "name": "assessment-objective", + "id": "PRM-08_PRM-08_A02", + "prose": "organizational knowledge of the cybersecurity / data privacy staff is documented." + }, + { + "name": "assessment-objective", + "id": "PRM-08_PRM-08_A03", + "prose": "cross-training is performed to maintain organizational knowledge." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo01.08" + } + ] + } + ] + }, + { + "id": "risk-management", + "title": "Risk Management", + "controls": [ + { + "id": "RSK-01", + "title": "Risk Management Program", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "RSK-01" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management.1", + "value": "3.5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management.2", + "value": "3.5.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.33", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.34", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.35", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.36", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.37", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.38", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.39", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to facilitate the implementation of strategic, operational and tactical risk management controls." + }, + { + "name": "assessment-objective", + "id": "RSK-01_RSK-01_A01", + "prose": "a comprehensive strategy is developed to manage cybersecurity / data privacy risk to organizational operations and assets, individuals and other organizations associated with the operation and use of organizational systems." + }, + { + "name": "assessment-objective", + "id": "RSK-01_RSK-01_A02", + "prose": "the risk management strategy is implemented consistently across the organization." + }, + { + "name": "assessment-objective", + "id": "RSK-01_RSK-01_A03", + "prose": "a senior organizational position for Risk Management aligns cybersecurity / data privacy management processes with strategic, operational and budgetary planning processes." + }, + { + "name": "assessment-objective", + "id": "RSK-01_RSK-01_A04", + "prose": "for existing facilities, physical and environmental hazards are considered in the organizational risk management strategy." + }, + { + "name": "assessment-objective", + "id": "RSK-01_RSK-01_A05", + "prose": "the frequency at which to review / update the risk management strategy is defined." + }, + { + "name": "assessment-objective", + "id": "RSK-01_RSK-01_A06", + "prose": "the risk management strategy is reviewed / updated per an organization-defined frequency or as required to address organizational changes." + }, + { + "name": "assessment-objective", + "id": "RSK-01_RSK-01_A07", + "prose": "a senior organizational position for Risk Management is appointed." + }, + { + "name": "assessment-objective", + "id": "RSK-01_RSK-01_A08", + "prose": "a risk executive function is established." + }, + { + "name": "assessment-objective", + "id": "RSK-01_RSK-01_A09", + "prose": "a risk executive function views and analyzes risk from an organization-wide perspective." + }, + { + "name": "assessment-objective", + "id": "RSK-01_RSK-01_A10", + "prose": "a risk executive function ensures that the management of risk is consistent across the organization." + }, + { + "name": "assessment-objective", + "id": "RSK-01_RSK-01_A11", + "prose": "organization-defined security requirements are enforced to protect against supply chain risks to the system, system components, or system services and to limit the harm or consequences of supply chain-related events." + }, + { + "name": "assessment-objective", + "id": "RSK-01_RSK-01_A12", + "prose": "the following security requirements are enforced to protect against supply chain risks to the system, system components, or system services and to limit the harm or consequences of supply chain-related events: ." + }, + { + "name": "assessment-objective", + "id": "RSK-01_RSK-01_A13", + "prose": "risk management operations are conducted according to documented policies, standards, procedures and/or other organizational directives." + }, + { + "name": "assessment-objective", + "id": "RSK-01_RSK-01_A14", + "prose": "adequate resources (e.g., people, processes, technologies, data and/or facilities) are provided to support risk management operations." + }, + { + "name": "assessment-objective", + "id": "RSK-01_RSK-01_A15", + "prose": "responsibility and authority for the performance of risk management-related activities are assigned to designated personnel." + }, + { + "name": "assessment-objective", + "id": "RSK-01_RSK-01_A16", + "prose": "personnel performing risk management-related activities have the skills and knowledge needed to perform their assigned duties." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_16.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_16.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_16.6" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:edm03.01" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:edm03.02" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:edm03.03" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo12.01" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo12.02" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo12.03" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo12.04" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo12.05" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo12.06" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_7" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_8" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_16" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:cek-07" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:grc-02" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:rsm-01" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:rsm-02" + }, + { + "rel": "mapped-to", + "href": "#iec-tr-60601-4-5-2021:_4.1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:org-2.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.1.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.1.1-a" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.1.1-b" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.1.1-c" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.1.1-d" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.1.1-e-1" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.1.1-e-2" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.1.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.1.2-a" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.1.2-a-1" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.1.2-a-2" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.1.2-b" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.1.2-c" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.1.2-c-1" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.1.2-c-2" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.1.2-d" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.1.2-d-1" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.1.2-d-2" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.1.2-d-3" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.1.2-e" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.1.2-e-1" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.1.2-e-2" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_8.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_7.5" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_11.1.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_7.5" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_6.1.2" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_5.1" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_5.3" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_5.4.2" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_5.4.5" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_5.5" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_5.7.1" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_5.7.2" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_6.1" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_6.2" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_6.3.1" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_6.3.2" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_6.3.3" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_6.6" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_6.7" + }, + { + "rel": "mapped-to", + "href": "#iso-31010-2009:_4.1" + }, + { + "rel": "mapped-to", + "href": "#iso-31010-2009:_4.2" + }, + { + "rel": "mapped-to", + "href": "#iso-31010-2009:_4.3.1" + }, + { + "rel": "mapped-to", + "href": "#iso-31010-2009:_4.3.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.2-a" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.2-b" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.2-c" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.2-d" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.2-e" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.3" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.3-a" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.3-b" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.3-c" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.3-d" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.3-e" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.3-f" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.3-g" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_8.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.5" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-1.3" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-1.4" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-1.5" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:manage-1.0" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:govern-1.4" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:id.ra-p" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:id.de-p" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:id.de-p1" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:gv.po-p6" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:gv.rm-p" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:gv.rm-p1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-37-r2:task-p-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-39:task-4-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-39:task-4-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:pm-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ra-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pm-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pm-29" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ra-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pm-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pm-29" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ra-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ra-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pm-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pm-29" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ra-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pm-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pm-29" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ra-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pm-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pm-29" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ra-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pm-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pm-29" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ra-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pm-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pm-29" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ra-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:ra-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:pm-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:pm-29" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:ra-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ra-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ra-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:nfo-ra-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.11.01.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.17.01.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.17.03.b" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.rm" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.rm-01" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.rm-03" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.rm-04" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.rm-06" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.rr-01" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.ov-02" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.ov-03" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-01" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-03" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-05" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-09" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.ra" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.im" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ir" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.3" + } + ] + }, + { + "id": "RSK-01.1", + "title": "Risk Framing", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "RSK-01.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to identify:\r\n(1) Assumptions affecting risk assessments, risk response and risk monitoring;\r\n(2) Constraints affecting risk assessments, risk response and risk monitoring;\r\n(3) The organizational risk tolerance; and\r\n(4) Priorities, benefits and trade-offs considered by the organization for managing risk." + }, + { + "name": "assessment-objective", + "id": "RSK-01.1_RSK-01.1_A01", + "prose": "the personnel to receive the results of risk framing activities is/are defined." + }, + { + "name": "assessment-objective", + "id": "RSK-01.1_RSK-01.1_A02", + "prose": "the frequency for reviewing and updating risk framing considerations is defined." + }, + { + "name": "assessment-objective", + "id": "RSK-01.1_RSK-01.1_A03", + "prose": "assumptions affecting risk assessments are identified and documented." + }, + { + "name": "assessment-objective", + "id": "RSK-01.1_RSK-01.1_A04", + "prose": "assumptions affecting risk responses are identified and documented." + }, + { + "name": "assessment-objective", + "id": "RSK-01.1_RSK-01.1_A05", + "prose": "assumptions affecting risk monitoring are identified and documented." + }, + { + "name": "assessment-objective", + "id": "RSK-01.1_RSK-01.1_A06", + "prose": "constraints affecting risk assessments are identified and documented." + }, + { + "name": "assessment-objective", + "id": "RSK-01.1_RSK-01.1_A07", + "prose": "constraints affecting risk responses are identified and documented." + }, + { + "name": "assessment-objective", + "id": "RSK-01.1_RSK-01.1_A08", + "prose": "constraints affecting risk monitoring are identified and documented." + }, + { + "name": "assessment-objective", + "id": "RSK-01.1_RSK-01.1_A09", + "prose": "priorities considered by the organization for managing risk are identified and documented." + }, + { + "name": "assessment-objective", + "id": "RSK-01.1_RSK-01.1_A10", + "prose": "trade-offs considered by the organization for managing risk are identified and documented." + }, + { + "name": "assessment-objective", + "id": "RSK-01.1_RSK-01.1_A11", + "prose": "organizational risk tolerance is identified and documented." + }, + { + "name": "assessment-objective", + "id": "RSK-01.1_RSK-01.1_A12", + "prose": "the results of risk framing activities are distributed to personnel." + }, + { + "name": "assessment-objective", + "id": "RSK-01.1_RSK-01.1_A13", + "prose": "risk framing considerations are reviewed / updated frequently." + }, + { + "name": "assessment-objective", + "id": "RSK-01.1_RSK-01.1_A14", + "prose": "the risk (including supply chain risk) of unauthorized disclosure resulting from the processing, storage, or transmission of sensitive / regulated data is assessed." + }, + { + "name": "assessment-objective", + "id": "RSK-01.1_RSK-01.1_A15", + "prose": "the risk (including supply chain risk) of unauthorized disclosure resulting from the processing, storage, or transmission of CUI is assessed." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_16.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_16.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_16.6" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo12.01" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo12.04" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_7" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:a-a-06" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:cek-07" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:rsm-01" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:rsm-02" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.1.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.1.2-a" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.1.2-a-1" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.1.2-a-2" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.1.2-b" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.1.2-c" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.1.2-c-1" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.1.2-c-2" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.1.2-d" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.1.2-d-1" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.1.2-d-2" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.1.2-d-3" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.1.2-e" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.1.2-e-1" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.1.2-e-2" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.8" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_6.1.5" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.8" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_6.1.2-a" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_5.3" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_5.4.2" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_6.4.2" + }, + { + "rel": "mapped-to", + "href": "#iso-31010-2009:_4.3.3" + }, + { + "rel": "mapped-to", + "href": "#iso-31010-2009:_4.3.3-a" + }, + { + "rel": "mapped-to", + "href": "#iso-31010-2009:_4.3.3-b" + }, + { + "rel": "mapped-to", + "href": "#iso-31010-2009:_4.3.3-c" + }, + { + "rel": "mapped-to", + "href": "#iso-31010-2009:_6.4" + }, + { + "rel": "mapped-to", + "href": "#iso-31010-2009:_6.5" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.2-d" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.2-d-1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.2-d-2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.2-d-3" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.2-e" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.2-e-1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.2-e-2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.4" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_8.4" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-1.3" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-1.4" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mp-2.1-001" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:gv.rm-p3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-39:_3.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-39:task-1-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-39:task-1-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-39:task-1-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pm-28" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pm-28" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pm-28" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pm-28" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pm-28" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pm-28" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pm-28" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:pm-28" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.11.01.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.11.01.a" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.oc-01" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.rm" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.rm-04" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.rm-06" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.rm-07" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.ra-05" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.ra-06" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_12.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_12.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.3.1" + }, + { + "rel": "part-of", + "href": "#RSK-01" + } + ] + }, + { + "id": "RSK-01.2", + "title": "Risk Management Resourcing", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to reduce the magnitude or likelihood of potential impacts by resourcing the capability required to manage technology-related risks." + }, + { + "name": "assessment-objective", + "id": "RSK-01.2_RSK-01.2_A01", + "prose": "an executive steering committee, or advisory board, identifies necessary resourcing for the capability required to manage technology-related risks." + }, + { + "name": "assessment-objective", + "id": "RSK-01.2_RSK-01.2_A02", + "prose": "the organization's incident response capability is resourced accordingly so it can reduce the magnitude or likelihood of potential impacts from technology-related risks." + }, + { + "name": "assessment-objective", + "id": "RSK-01.2_RSK-01.2_A03", + "prose": "recurring reviews of incident response operations are used to benchmark resourcing requirements for incident response operations." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_5.3" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_5.4.2" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_5.4.4" + }, + { + "rel": "mapped-to", + "href": "#iso-31010-2009:_6.3" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_5.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-1.3" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-1.4" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:manage-2.1" + }, + { + "rel": "part-of", + "href": "#RSK-01" + } + ] + }, + { + "id": "RSK-01.3", + "title": "Risk Tolerance", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "RSK-01.3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to define organizational risk tolerance, the specified range of acceptable results." + }, + { + "name": "assessment-objective", + "id": "RSK-01.3_RSK-01.3_A01", + "prose": "an executive steering committee, or advisory board, defines the organization's risk tolerance." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:org-2.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_6.1.2-a-1" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_5.4.2" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_6.3.4" + }, + { + "rel": "mapped-to", + "href": "#iso-31010-2009:_4.3.3" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-1.3" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:map-1.5" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:map-3.2" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:gv.rm-p2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-39:task-1-3" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.rm" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.rm-02" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.rr-01" + }, + { + "rel": "part-of", + "href": "#RSK-01" + } + ] + }, + { + "id": "RSK-01.4", + "title": "Risk Threshold", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "RSK-01.4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to define organizational risk threshold, the level of risk exposure above which risks are addressed and below which risks may be accepted." + }, + { + "name": "assessment-objective", + "id": "RSK-01.4_RSK-01.4_A01", + "prose": "an executive steering committee, or advisory board, defines the organization's risk threshold." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_6.1.2-a-1" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_5.4.2" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_6.3.4" + }, + { + "rel": "mapped-to", + "href": "#iso-31010-2009:_4.3.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-39:task-1-4" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.rr-01" + }, + { + "rel": "part-of", + "href": "#RSK-01" + } + ] + }, + { + "id": "RSK-01.5", + "title": "Risk Appetite", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "RSK-01.5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to define organizational risk appetite, the degree of uncertainty the organization is willing to accept in anticipation of a reward." + }, + { + "name": "assessment-objective", + "id": "RSK-01.5_RSK-01.5_A01", + "prose": "an executive steering committee, or advisory board, defines the organization's risk appetite." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_6.1.2-a-1" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_5.4.2" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_6.3.4" + }, + { + "rel": "mapped-to", + "href": "#iso-31010-2009:_4.3.3" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:gv.rm-p3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-39:task-1-4" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.rm" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.rm-02" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.rr-01" + }, + { + "rel": "part-of", + "href": "#RSK-01" + } + ] + }, + { + "id": "RSK-02", + "title": "Risk-Based Security Categorization", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "RSK-02" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to categorize Technology Assets, Applications, Services and/or Data (TAASD) in accordance with applicable laws, regulations and contractual obligations that:\r\n(1) Document the security categorization results (including supporting rationale) in the security plan for systems; and\r\n(2) Ensure the security categorization decision is reviewed and approved by the asset owner." + }, + { + "name": "assessment-objective", + "id": "RSK-02_RSK-02_A01", + "prose": "systems, applications, services and the information processed, stored and/or transmitted are categorized." + }, + { + "name": "assessment-objective", + "id": "RSK-02_RSK-02_A02", + "prose": "the security categorization results, including supporting rationale, are documented in the security plan for the system." + }, + { + "name": "assessment-objective", + "id": "RSK-02_RSK-02_A03", + "prose": "the authorizing official or authorizing official designated representative reviews and approves the security categorization decision." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_16.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_16.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_16.6" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_7" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:bcr-02" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:rsm-01" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:rsm-02" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.1.2-d-3" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_6.1.2-e-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ra-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ra-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ra-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ra-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ra-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ra-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ra-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ra-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:ra-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:ra-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ra-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ra-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.11.01.a" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.am" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_9.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_9.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_9.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_9.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_9.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_9.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.4.2" + } + ] + }, + { + "id": "RSK-02.1", + "title": "Impact-Level Prioritization", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "RSK-02.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to prioritize the impact level for Technology Assets, Applications and/or Services (TAAS) to prevent potential disruptions." + }, + { + "name": "assessment-objective", + "id": "RSK-02.1_RSK-02.1_A01", + "prose": "an impact-level prioritization of organizational systems is conducted to obtain additional granularity on system impact levels." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_16.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_16.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_16.6" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:a-a-06" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:bcr-02" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:cek-07" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:rsm-01" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:rsm-02" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_6.1.2-e-2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.2-e-2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:map-5.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:manage-1.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ra-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ra-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.11.01.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.14.03.b" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.ra-05" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.ra-06" + }, + { + "rel": "part-of", + "href": "#RSK-02" + } + ] + }, + { + "id": "RSK-03", + "title": "Risk Identification", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "RSK-03" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to identify and document risks, both internal and external." + }, + { + "name": "assessment-objective", + "id": "RSK-03_RSK-03_A01", + "prose": "a process exists to identify applicable internal and external risks." + }, + { + "name": "assessment-objective", + "id": "RSK-03_RSK-03_A02", + "prose": "applicable internal and external risks are documented." + }, + { + "name": "assessment-objective", + "id": "RSK-03_RSK-03_A03", + "prose": "the risk (including supply chain risk) of unauthorized disclosure resulting from the processing, storage, or transmission of sensitive / regulated data is assessed." + }, + { + "name": "assessment-objective", + "id": "RSK-03_RSK-03_A04", + "prose": "the risk (including supply chain risk) of unauthorized disclosure resulting from the processing, storage, or transmission of CUI is assessed." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo12.01" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_7" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_8" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:cek-07" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:rsm-01" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.2.3-a" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.1.2-c" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.1.2-c-1" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.1.2-c-2" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.8" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_6.1.5" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.8" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_6.1.2-c" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_5.6" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_6.4.2" + }, + { + "rel": "mapped-to", + "href": "#iso-31010-2009:_5.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.2-c" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:manage-1.0" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:manage-2.3" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-4.2-002" + }, + { + "rel": "mapped-to", + "href": "#nist-800-37-r2:task-p-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-37-r2:task-p-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.11.01.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.11.01.a" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_12.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_12.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.3.1" + } + ] + }, + { + "id": "RSK-03.1", + "title": "Risk Catalog", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "RSK-03.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to develop and keep current a catalog of applicable risks associated with the organization's business operations and technologies in use." + }, + { + "name": "assessment-objective", + "id": "RSK-03.1_RSK-03.1_A01", + "prose": "a risk catalog, or similar solution, exists that keeps current a catalog of applicable risks associated with the organization's business operations and technologies in use." + }, + { + "name": "assessment-objective", + "id": "RSK-03.1_RSK-03.1_A02", + "prose": "the risk (including supply chain risk) of unauthorized disclosure resulting from the processing, storage, or transmission of sensitive / regulated data is assessed." + }, + { + "name": "assessment-objective", + "id": "RSK-03.1_RSK-03.1_A03", + "prose": "the risk (including supply chain risk) of unauthorized disclosure resulting from the processing, storage, or transmission of CUI is assessed." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo12.01" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo12.04" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_6.1.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-39:task-2-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.15.02.a.03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.11.01.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.11.5e" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id" + }, + { + "rel": "part-of", + "href": "#RSK-03" + } + ] + }, + { + "id": "RSK-04", + "title": "Risk Assessment", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "RSK-04" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management.1", + "value": "3.5.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management.2", + "value": "3.5.2.3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to conduct recurring assessments of risk that includes the likelihood and magnitude of harm, from unauthorized access, use, disclosure, disruption, modification or destruction of the organization's Technology Assets, Applications, Services and/or Data (TAASD)." + }, + { + "name": "assessment-objective", + "id": "RSK-04_RSK-04_A01", + "prose": "the frequency to assess risk to organizational operations, organizational assets and individuals is defined." + }, + { + "name": "assessment-objective", + "id": "RSK-04_RSK-04_A02", + "prose": "a document in which risk assessment results are to be documented (if not documented in the cybersecurity / data privacy plans or risk assessment report) is defined." + }, + { + "name": "assessment-objective", + "id": "RSK-04_RSK-04_A03", + "prose": "a risk assessment is conducted to determine the likelihood and magnitude of harm from unauthorized access, use, disclosure, disruption, modification or destruction of the system. the information it processes, stores or transmits. and any related information." + }, + { + "name": "assessment-objective", + "id": "RSK-04_RSK-04_A04", + "prose": "personnel or roles to whom risk assessment results are to be disseminated is/are defined." + }, + { + "name": "assessment-objective", + "id": "RSK-04_RSK-04_A05", + "prose": "risk assessment results are disseminated to personnel or roles." + }, + { + "name": "assessment-objective", + "id": "RSK-04_RSK-04_A06", + "prose": "the frequency to update the risk assessment is defined." + }, + { + "name": "assessment-objective", + "id": "RSK-04_RSK-04_A07", + "prose": "the frequency to review risk assessment results is defined." + }, + { + "name": "assessment-objective", + "id": "RSK-04_RSK-04_A08", + "prose": "a risk assessment is conducted to identify threats to and vulnerabilities in the system." + }, + { + "name": "assessment-objective", + "id": "RSK-04_RSK-04_A09", + "prose": "security solutions are identified." + }, + { + "name": "assessment-objective", + "id": "RSK-04_RSK-04_A10", + "prose": "current and accumulated threat intelligence is identified." + }, + { + "name": "assessment-objective", + "id": "RSK-04_RSK-04_A11", + "prose": "Anticipated risk to organizational systems and the organization based on current and accumulated threat intelligence is identified." + }, + { + "name": "assessment-objective", + "id": "RSK-04_RSK-04_A12", + "prose": "the effectiveness of security solutions is assessed frequency to address anticipated risk to organizational systems and the organization based on current and accumulated threat intelligence." + }, + { + "name": "assessment-objective", + "id": "RSK-04_RSK-04_A13", + "prose": "a risk assessment is conducted to determine the likelihood and impact of adverse effects on individuals arising from the processing of Personal Data (PD)." + }, + { + "name": "assessment-objective", + "id": "RSK-04_RSK-04_A14", + "prose": "risk assessment results and risk management decisions from the organization and mission or business process perspectives are integrated with system-level risk assessments." + }, + { + "name": "assessment-objective", + "id": "RSK-04_RSK-04_A15", + "prose": "risk assessment results are documented per organization-defined criteria." + }, + { + "name": "assessment-objective", + "id": "RSK-04_RSK-04_A16", + "prose": "risk assessment results are reviewed frequently." + }, + { + "name": "assessment-objective", + "id": "RSK-04_RSK-04_A17", + "prose": "the risk assessment is updated frequently or when there are significant changes to the system, its environment of operation or other conditions that may impact the cybersecurity / data privacy state of the system." + }, + { + "name": "assessment-objective", + "id": "RSK-04_RSK-04_A18", + "prose": "risk to organizational operations, organizational assets and individuals resulting from the operation of an organizational system that processes, stores or transmits sensitive / regulated data is assessed with the defined frequency." + }, + { + "name": "assessment-objective", + "id": "RSK-04_RSK-04_A19", + "prose": "the risk (including supply chain risk) of unauthorized disclosure resulting from the processing, storage, or transmission of sensitive / regulated data is assessed." + }, + { + "name": "assessment-objective", + "id": "RSK-04_RSK-04_A20", + "prose": "risk assessments are updated per an organization-defined frequency." + }, + { + "name": "assessment-objective", + "id": "RSK-04_RSK-04_A21", + "prose": "the risk (including supply chain risk) of unauthorized disclosure resulting from the processing, storage, or transmission of CUI is assessed." + }, + { + "name": "assessment-objective", + "id": "RSK-04_RSK-04_A22", + "prose": "risk assessments are updated ." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo12.02" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_7" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:cek-07" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:rsm-01" + }, + { + "rel": "mapped-to", + "href": "#iec-tr-60601-4-5-2021:_4.6.2" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.2.3" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.2.3-b" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.1.2-d" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.1.2-d-1" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.1.2-d-2" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.1.2-d-3" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.1.2-e" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.1.2-e-1" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.1.2-e-2" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_8.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.8" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_7.5" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_6.1.5" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_11.1.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.8" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_7.5" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_6.1.2-e" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_5.6" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_6.4.1" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_6.4.3" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_6.4.4" + }, + { + "rel": "mapped-to", + "href": "#iso-31010-2009:_4.3.4" + }, + { + "rel": "mapped-to", + "href": "#iso-31010-2009:_5.1" + }, + { + "rel": "mapped-to", + "href": "#iso-31010-2009:_5.3.1" + }, + { + "rel": "mapped-to", + "href": "#iso-31010-2009:_5.3.4" + }, + { + "rel": "mapped-to", + "href": "#iso-31010-2009:_5.3.4-a" + }, + { + "rel": "mapped-to", + "href": "#iso-31010-2009:_5.3.4-b" + }, + { + "rel": "mapped-to", + "href": "#iso-31010-2009:_5.3.4-c" + }, + { + "rel": "mapped-to", + "href": "#iso-31010-2009:_5.3.5" + }, + { + "rel": "mapped-to", + "href": "#iso-31010-2009:_5.3.6" + }, + { + "rel": "mapped-to", + "href": "#iso-31010-2009:_5.4" + }, + { + "rel": "mapped-to", + "href": "#iso-31010-2009:_5.5" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.2-a" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.2-b" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.2-c" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.2-d" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.2-d-1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.2-d-2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.2-d-3" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.2-e" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.2-e-1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.2-e-2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_8.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.5.3" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.5.4" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.5.5" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-1.5" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:manage-1.0" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:id.de-p5" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:gv.mt-p1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-37-r2:task-p-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-37-r2:task-p-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-39:_3.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-39:task-2-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ra-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ra-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ra-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ra-03" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.308-a-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ra-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ra-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ra-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ra-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ra-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:ra-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:ra-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ra-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ra-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.11.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.11.01.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.11.1-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.11.1-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.11.01.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.11.01.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.11.1e" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.11.5e" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.rm-06" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.ra-01" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.ra-05" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_12.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_12.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.3.1" + } + ] + }, + { + "id": "RSK-04.1", + "title": "Risk Register", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "RSK-04.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to maintain a risk register that facilitates monitoring and reporting of risks." + }, + { + "name": "assessment-objective", + "id": "RSK-04.1_RSK-04.1_A01", + "prose": "a risk register is maintained to facilitate the monitoring and reporting of risks." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo12.03" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo12.05" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_7" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:a-a-06" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:cek-07" + }, + { + "rel": "mapped-to", + "href": "#iso-31010-2009:_4.3.6" + }, + { + "rel": "mapped-to", + "href": "#iso-31010-2009:_5.6" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_9.3.2-a" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_9.3.2-b" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-1.5" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:measure-3.0" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:measure-3.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:measure-3.2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:manage-1.4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.12.02.a.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.12.02.a.02" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.rm-06" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.ra-01" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_12.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_12.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.3.1" + }, + { + "rel": "part-of", + "href": "#RSK-04" + } + ] + }, + { + "id": "RSK-04.2", + "title": "Risk Assessment Methodology", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "RSK-04.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to implement a risk assessment methodology to ensure coverage for organizational components relevant for secure, compliant and resilient operations." + }, + { + "name": "assessment-objective", + "id": "RSK-04.2_RSK-04.2_A01", + "prose": "a risk assessment methodology that can cover the organization's components relevant for secure, compliant and resilient operations is defined." + }, + { + "name": "assessment-objective", + "id": "RSK-04.2_RSK-04.2_A02", + "prose": "a risk assessment methodology that covers the organization's components relevant for secure, compliant and resilient operations is implemented." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_6.1.2-a-2" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_5.7.2" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_6.4.1" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_6.4.3" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_6.4.4" + }, + { + "rel": "mapped-to", + "href": "#iso-31010-2009:_4.3.1" + }, + { + "rel": "mapped-to", + "href": "#iso-31010-2009:_4.3.4" + }, + { + "rel": "mapped-to", + "href": "#iso-31010-2009:_6.2" + }, + { + "rel": "mapped-to", + "href": "#iso-31010-2009:_6.7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.11.1e" + }, + { + "rel": "part-of", + "href": "#RSK-04" + } + ] + }, + { + "id": "RSK-04.3", + "title": "Instances Requiring A Risk Assessment", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to define instances that require a risk assessment to be performed." + }, + { + "name": "assessment-objective", + "id": "RSK-04.3_RSK-04.3_A01", + "prose": "instances that require a risk assessment to be performed are defined." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "part-of", + "href": "#RSK-04" + } + ] + }, + { + "id": "RSK-04.4", + "title": "Risk Assessment Stakeholder Involvement", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to:\r\n(1) Define applicable stakeholders for each risk assessment;\r\n(2) Involve identified stakeholders in the risk assessment process; and\r\n(3) Provide identified stakeholders with results of the risk assessment, upon completion." + }, + { + "name": "assessment-objective", + "id": "RSK-04.4_RSK-04.4_A01", + "prose": "applicable stakeholders for each risk assessment are identified." + }, + { + "name": "assessment-objective", + "id": "RSK-04.4_RSK-04.4_A02", + "prose": "identified stakeholders are involved in the risk assessment process." + }, + { + "name": "assessment-objective", + "id": "RSK-04.4_RSK-04.4_A03", + "prose": "identified stakeholders are provided with results of the risk assessment, upon completion." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#RSK-04" + } + ] + }, + { + "id": "RSK-05", + "title": "Risk Ranking", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "RSK-05" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to identify and assign a risk ranking to newly discovered security vulnerabilities that is based on industry-recognized practices." + }, + { + "name": "assessment-objective", + "id": "RSK-05_RSK-05_A01", + "prose": "newly discovered risks are ranked based on industry-recognized practices." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo12.03" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_7" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:cek-07" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:rsm-01" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:rsm-02" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_6.1.2-d-3" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.2-e-2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:manage-1.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.11.01.a" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.ra-05" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.ra-06" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_12.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_12.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.3.1" + } + ] + }, + { + "id": "RSK-06", + "title": "Risk Remediation", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "RSK-06" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management", + "value": "3.5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to remediate risks to an acceptable level." + }, + { + "name": "assessment-objective", + "id": "RSK-06_RSK-06_A01", + "prose": "a defined risk threshold exists to determine what risk is and is not acceptable." + }, + { + "name": "assessment-objective", + "id": "RSK-06_RSK-06_A02", + "prose": "data / process owners are held accountable to remediate risks to an acceptable level." + }, + { + "name": "assessment-objective", + "id": "RSK-06_RSK-06_A03", + "prose": "the organization utilizes compensating controls to remediate control deficiencies to an acceptable level." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_18.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_18.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_18.3" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo12.06" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_7" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_13" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_17" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:cek-07" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:rsm-01" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:rsm-02" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:org-2.1" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.2.3-c" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.1.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.1.3-a" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.1.3-b" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.1.3-c" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.1.3-d" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.1.3-e" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.1.3-f" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_8.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.8" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_6.1.5" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.8" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_6.1.2-e-2" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_6.1.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_6.1.3-b" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_6.5.1" + }, + { + "rel": "mapped-to", + "href": "#iso-31010-2009:_4.3.5" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.3" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.3-a" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.3-b" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.3-c" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.3-d" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.3-e" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.3-f" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.3-g" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_8.3" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_10.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_10.2-a" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_10.2-a-1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_10.2-a-2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_10.2-b" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_10.2-b-1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_10.2-b-2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_10.2-b-3" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_10.2-c" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_10.2-d" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_10.2-e" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:manage-1.2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:manage-4.0" + }, + { + "rel": "mapped-to", + "href": "#nist-800-39:_3.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.11.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.11.02.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.12.02.a.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.11.7e" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.rm-04" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.ra-05" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.ra-06" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.7.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.7.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.7.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:a3.3.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_12.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_12.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.7.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.7.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.7.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.7.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.7.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.3.1" + } + ] + }, + { + "id": "RSK-06.1", + "title": "Risk Response", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "RSK-06.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure proper risk response actions were performed to remediate findings from security, compliance and/or resilience-related:\r\n(1) Assessments;\r\n(2) Audits; and/or\r\n(3) Incidents." + }, + { + "name": "assessment-objective", + "id": "RSK-06.1_RSK-06.1_A01", + "prose": "findings from security assessments are responded to in accordance with organizational risk tolerance." + }, + { + "name": "assessment-objective", + "id": "RSK-06.1_RSK-06.1_A02", + "prose": "findings from security assessments are responded to." + }, + { + "name": "assessment-objective", + "id": "RSK-06.1_RSK-06.1_A03", + "prose": "findings from security monitoring are responded to." + }, + { + "name": "assessment-objective", + "id": "RSK-06.1_RSK-06.1_A04", + "prose": "findings from security audits are responded to." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo12.06" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_7" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:a-a-06" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:cek-07" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:rsm-01" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:rsm-02" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.1.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.1.3-a" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.1.3-b" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.1.3-c" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.1.3-d" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.1.3-e" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_6.1.3-f" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_8.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.8" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_6.1.5" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.8" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_6.1.3" + }, + { + "rel": "mapped-to", + "href": "#iso-31010-2009:_4.3.5" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.3" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.3-a" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.3-b" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.3-c" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.3-d" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.3-e" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.3-f" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.3-g" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_8.3" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:manage-1.3" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:manage-2.3" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:manage-2.4" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:manage-4.0" + }, + { + "rel": "mapped-to", + "href": "#nist-800-39:_3.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ra-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ra-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ra-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ra-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ra-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ra-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ra-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ra-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:ra-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:ra-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ra-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ra-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.11.02.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.11.04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.11.04-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.11.04-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.11.04-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.11.6e" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.rm-04" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.ra-05" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.ra-06" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.7.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.7.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.7.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.7.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.7.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.7.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.7.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.7.3" + }, + { + "rel": "part-of", + "href": "#RSK-06" + } + ] + }, + { + "id": "RSK-06.2", + "title": "Compensating Countermeasures", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "RSK-06.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to identify and implement compensating countermeasures to reduce risk and exposure to threats." + }, + { + "name": "assessment-objective", + "id": "RSK-06.2_RSK-06.2_A01", + "prose": "identify and implement compensating countermeasures to reduce risk and exposure to threats." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:respond" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_2.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_2.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_2.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_2.2" + }, + { + "rel": "mapped-to", + "href": "#iec-tr-60601-4-5-2021:_4.3" + }, + { + "rel": "mapped-to", + "href": "#iec-tr-60601-4-5-2021:_5.2" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:comp-3.5" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.31-a" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_6.1.3" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_6.5.2" + }, + { + "rel": "mapped-to", + "href": "#iso-31010-2009:_4.3.5" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.3-b" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.3-c" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.3-d" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_8.3" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:manage-2.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-37-r2:task-s-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-39:_3.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-39:task-3-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.11.02.b" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.rm-04" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.ra-06" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.2.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_2.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.2.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_2.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_12.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_1.2.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_2.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_12.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_2.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.2.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_2.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.2.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_2.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.3.1" + }, + { + "rel": "part-of", + "href": "#RSK-06" + } + ] + }, + { + "id": "RSK-06.3", + "title": "Risk Treatment Options", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to select appropriate risk treatment options, based on applicable risk assessment findings." + }, + { + "name": "assessment-objective", + "id": "RSK-06.3_RSK-06.3_A01", + "prose": "risk treatment options are defined." + }, + { + "name": "assessment-objective", + "id": "RSK-06.3_RSK-06.3_A02", + "prose": "appropriate risk treatment options, based on applicable risk assessment findings, are selected." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-15-17" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-15-17-a" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-15-17-b" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-15-17-c" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-15-17-d" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_6.1.3-a" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_6.5.2" + }, + { + "rel": "mapped-to", + "href": "#iso-31010-2009:_4.3.5" + }, + { + "rel": "mapped-to", + "href": "#iso-31010-2009:_5.3.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-39:_3.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-39:task-3-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-39:task-3-2" + }, + { + "rel": "part-of", + "href": "#RSK-06" + } + ] + }, + { + "id": "RSK-06.4", + "title": "Risk Treatment Plan (RTP)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to formalize a Risk Treatment Plan (RTP) that applicable stakeholders will utilize to remediate identified risks according to a defined timeline." + }, + { + "name": "assessment-objective", + "id": "RSK-06.4_RSK-06.4_A01", + "prose": "a Risk Treatment Plan (RTP) format is defined." + }, + { + "name": "assessment-objective", + "id": "RSK-06.4_RSK-06.4_A02", + "prose": "a Risk Treatment Plan (RTP) is utilized for applicable stakeholders to remediate identified risks according to a defined timeline." + }, + { + "name": "overview", + "class": "errata", + "prose": "- renamed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo12.06" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo13.02" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:a-a-06" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-09-04" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-09-05" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-09-06" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-09-06-a" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-09-06-b" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_6.1.3-f" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_6.1.3-g" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_8.3" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_6.5.3" + }, + { + "rel": "mapped-to", + "href": "#iso-31010-2009:_4.3.5" + }, + { + "rel": "mapped-to", + "href": "#iso-31010-2009:_5.3.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-37-r2:task-r-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-39:_3.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-39:task-3-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-39:task-3-4" + }, + { + "rel": "part-of", + "href": "#RSK-06" + } + ] + }, + { + "id": "RSK-07", + "title": "Risk Assessment Update", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "RSK-07" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to routinely update risk assessments and react accordingly upon identifying new security vulnerabilities, including using outside sources for security vulnerability information." + }, + { + "name": "assessment-objective", + "id": "RSK-07_RSK-07_A01", + "prose": "the frequency at which to update the risk assessment is defined." + }, + { + "name": "assessment-objective", + "id": "RSK-07_RSK-07_A02", + "prose": "risk assessments are updated per an organization-defined frequency." + }, + { + "name": "assessment-objective", + "id": "RSK-07_RSK-07_A03", + "prose": "risk assessments are updated ." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_7" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:id.de-p5" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:gv.mt-p1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.11.01.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.11.01.odp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.11.01.b" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_12.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_12.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.3.1" + } + ] + }, + { + "id": "RSK-08", + "title": "Business Impact Analysis (BIA)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to conduct a Business Impact Analysis (BIA) to identify and assess security, compliance and resilience risks." + }, + { + "name": "assessment-objective", + "id": "RSK-08_RSK-08_A01", + "prose": "a Business Impact Analysis (BIA) is conducted to identify and evaluate the impacts of possible disruptions." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo12.03" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai04.02" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_7" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:bcr-02" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:rsm-01" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:rsm-03" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.2.1" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.2.1-a" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.2.1-b" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.2.2" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.2.2-a" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.2.2-b" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.2.2-c" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.2.2-d" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.2.2-e" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.2.2-f" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.2.2-g" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_8.2.2-h" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.30" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.4" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_8.4" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.5.3" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.5.4" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.5.5" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-1.5" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:map-1.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:map-5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:a3.2.2" + } + ] + }, + { + "id": "RSK-09", + "title": "Supply Chain Risk Management (SCRM) Plan", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "RSK-09" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management", + "value": "3.5.3.8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.33", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.34", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.35", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.36", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.37", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.38", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.39", + "value": "MT-26" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.40", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-26", + "value": "MT-26" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to develop a plan for Supply Chain Risk Management (SCRM) associated with the development, acquisition, maintenance and disposal of Technology Assets, Applications and/or Services (TAAS), including documenting selected mitigating actions and monitoring performance against those plans." + }, + { + "name": "assessment-objective", + "id": "RSK-09_RSK-09_A01", + "prose": "an organization-wide strategy for managing supply chain risks is developed." + }, + { + "name": "assessment-objective", + "id": "RSK-09_RSK-09_A02", + "prose": "supply chain risks associated with organizational systems and system components are identified." + }, + { + "name": "assessment-objective", + "id": "RSK-09_RSK-09_A03", + "prose": "the supply chain risk management strategy is implemented consistently across the organization." + }, + { + "name": "assessment-objective", + "id": "RSK-09_RSK-09_A04", + "prose": "a plan for managing supply chain risks is developed." + }, + { + "name": "assessment-objective", + "id": "RSK-09_RSK-09_A05", + "prose": "security requirements to protect against supply chain risks to the system, system components, or system services and to limit the harm or consequences from supply chain-related events are defined." + }, + { + "name": "assessment-objective", + "id": "RSK-09_RSK-09_A06", + "prose": "the supply chain risk management strategy is reviewed / updated per an organization-defined frequency or as required to address organizational changes." + }, + { + "name": "assessment-objective", + "id": "RSK-09_RSK-09_A07", + "prose": "the frequency at which to review and update the supply chain risk management plan is defined." + }, + { + "name": "assessment-objective", + "id": "RSK-09_RSK-09_A08", + "prose": "the plan for managing supply chain risks is updated frequently." + }, + { + "name": "assessment-objective", + "id": "RSK-09_RSK-09_A09", + "prose": "the SCRM plan addresses risks associated with the research and development of the system, system components, or system services." + }, + { + "name": "assessment-objective", + "id": "RSK-09_RSK-09_A10", + "prose": "the SCRM plan addresses risks associated with the design of the system, system components, or system services." + }, + { + "name": "assessment-objective", + "id": "RSK-09_RSK-09_A11", + "prose": "the SCRM plan addresses risks associated with the manufacturing of the system, system components, or system services." + }, + { + "name": "assessment-objective", + "id": "RSK-09_RSK-09_A12", + "prose": "the SCRM plan addresses risks associated with the acquisition of the system, system components, or system services." + }, + { + "name": "assessment-objective", + "id": "RSK-09_RSK-09_A13", + "prose": "the SCRM plan addresses risks associated with the delivery of the system, system components, or system services." + }, + { + "name": "assessment-objective", + "id": "RSK-09_RSK-09_A14", + "prose": "the SCRM plan addresses risks associated with the integration of the system, system components, or system services." + }, + { + "name": "assessment-objective", + "id": "RSK-09_RSK-09_A15", + "prose": "the SCRM plan addresses risks associated with the operation of the system, system components, or system services." + }, + { + "name": "assessment-objective", + "id": "RSK-09_RSK-09_A16", + "prose": "the SCRM plan addresses risks associated with the maintenance of the system, system components, or system services." + }, + { + "name": "assessment-objective", + "id": "RSK-09_RSK-09_A17", + "prose": "the SCRM plan addresses risks associated with the disposal of the system, system components, or system services." + }, + { + "name": "assessment-objective", + "id": "RSK-09_RSK-09_A18", + "prose": "the SCRM plan is reviewed per an organization-defined frequency." + }, + { + "name": "assessment-objective", + "id": "RSK-09_RSK-09_A19", + "prose": "the SCRM plan is updated per an organization-defined frequency." + }, + { + "name": "assessment-objective", + "id": "RSK-09_RSK-09_A20", + "prose": "the SCRM plan is protected from unauthorized disclosure." + }, + { + "name": "assessment-objective", + "id": "RSK-09_RSK-09_A21", + "prose": "the supply chain risk management plan is protected from unauthorized modification." + }, + { + "name": "assessment-objective", + "id": "RSK-09_RSK-09_A22", + "prose": "Operations Security (OPSEC) controls to protect supply chain-related information for the system, system component or system service are defined." + }, + { + "name": "assessment-objective", + "id": "RSK-09_RSK-09_A23", + "prose": "OPSEC controls are employed to protect supply chain-related information for the system, system component or system service." + }, + { + "name": "assessment-objective", + "id": "RSK-09_RSK-09_A24", + "prose": "the risk (including supply chain risk) of unauthorized disclosure resulting from the processing, storage, or transmission of sensitive / regulated data is assessed." + }, + { + "name": "assessment-objective", + "id": "RSK-09_RSK-09_A25", + "prose": "a process for identifying weaknesses or deficiencies in the supply chain elements and processes is established." + }, + { + "name": "assessment-objective", + "id": "RSK-09_RSK-09_A26", + "prose": "organization-defined security requirements are enforced to protect against supply chain risks to the system, system components, or system services and to limit the harm or consequences of supply chain-related events." + }, + { + "name": "assessment-objective", + "id": "RSK-09_RSK-09_A27", + "prose": "a process for addressing weaknesses or deficiencies in the supply chain elements and processes is established." + }, + { + "name": "assessment-objective", + "id": "RSK-09_RSK-09_A28", + "prose": "the risk (including supply chain risk) of unauthorized disclosure resulting from the processing, storage, or transmission of CUI is assessed." + }, + { + "name": "assessment-objective", + "id": "RSK-09_RSK-09_A29", + "prose": "the SCRM plan is reviewed ." + }, + { + "name": "assessment-objective", + "id": "RSK-09_RSK-09_A30", + "prose": "the SCRM plan is updated ." + }, + { + "name": "assessment-objective", + "id": "RSK-09_RSK-09_A31", + "prose": "the following security requirements are enforced to protect against supply chain risks to the system, system components, or system services and to limit the harm or consequences of supply chain-related events: ." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_15.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_15.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_15.2" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo12.01" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo12.02" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo12.03" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo12.04" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_7" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_16" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:sdv-02" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.21" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.21" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.30" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.10" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.10.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.10.3" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:manage-3.0" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:id.de-p2" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:id.de-p3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sa-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pm-29" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pm-30" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-09-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sr-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sr-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pm-29" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sr-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sr-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:sr-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pm-29" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pm-30" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-09-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sr-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sr-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pm-29" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pm-30" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:sr-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pm-29" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pm-30" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sr-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pm-29" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pm-30" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sr-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sr-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pm-29" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pm-30" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sa-9-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sr-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sr-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:pm-30" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:sr-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:pm-30" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:pm-29" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:pm-30" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:sa-9-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:pm-30" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sa-9-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sr-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sa-9-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sr-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sr-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.11.01.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.17.01.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.17.01.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.17.03.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.17.03.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.11.01.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.17.01.odp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.17.01.a-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.17.01.a-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.17.01.a-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.17.01.a-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.17.01.a-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.17.01.a-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.17.01.a-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.17.01.a-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.17.01.a-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.17.01.a-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.17.01.b-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.17.01.b-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.17.01.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.17.03.odp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.17.03.a-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.17.03.a-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.17.03.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.11.6e" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.11.7e" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-01" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-03" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-05" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-09" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-10" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.ra" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.im" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a03-2025" + } + ] + }, + { + "id": "RSK-09.1", + "title": "Supply Chain Risk Assessment", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "RSK-09.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.33", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.34", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.35", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.36", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.37", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.38", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.39", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to periodically assess supply chain risks associated with Technology Assets, Applications and/or Services (TAAS)." + }, + { + "name": "assessment-objective", + "id": "RSK-09.1_RSK-09.1_A01", + "prose": "supply chain risks associated with organizational systems and system components are identified." + }, + { + "name": "assessment-objective", + "id": "RSK-09.1_RSK-09.1_A02", + "prose": "supply chain risks associated with organizational systems and system components are assessed." + }, + { + "name": "assessment-objective", + "id": "RSK-09.1_RSK-09.1_A03", + "prose": "supply chain risks associated with organizational systems and system components are responded to." + }, + { + "name": "assessment-objective", + "id": "RSK-09.1_RSK-09.1_A04", + "prose": "supply chain risks associated with organizational systems and system components are monitored." + }, + { + "name": "assessment-objective", + "id": "RSK-09.1_RSK-09.1_A05", + "prose": "the frequency at which to update the supply chain risk assessment is defined." + }, + { + "name": "assessment-objective", + "id": "RSK-09.1_RSK-09.1_A06", + "prose": "the supply chain risk assessment is updated frequently, when there are significant changes to the relevant supply chain or when changes to the system, environments of operation or other conditions may necessitate a change in the supply chain." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_15.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_15.5" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo12.01" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo12.02" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo12.03" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo12.04" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_7" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.30" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:manage-3.1" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:id.de-p5" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:gv.mt-p1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ra-03-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ra-03-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ra-03-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ra-03-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ra-03-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ra-03-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ra-3-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:ra-3-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:ra-3-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:ra-3-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ra-3-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ra-3-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.11.01.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.11.01.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.17.03.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.11.6e" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-09" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a03-2025" + }, + { + "rel": "part-of", + "href": "#RSK-09" + } + ] + }, + { + "id": "RSK-09.2", + "title": "AI & Autonomous Technologies Supply Chain Impacts", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.33", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to address Artificial Intelligence (AI) and Autonomous Technologies (AAT)-related risks and benefits arising from the organization's supply chain, including third-party software and data." + }, + { + "name": "assessment-objective", + "id": "RSK-09.2_RSK-09.2_A01", + "prose": "Supply Chain Risk Management (SCRM) practices address Artificial Intelligence (AI) and Autonomous Technologies (AAT)-related risks and benefits arising from the organization's supply chain, including third-party software and data." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-6.0" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:manage-3.0" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:manage-3.1" + }, + { + "rel": "part-of", + "href": "#RSK-09" + } + ] + }, + { + "id": "RSK-10", + "title": "Data Protection Impact Assessment (DPIA)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to conduct a Data Protection Impact Assessment (DPIA) on Technology Assets, Applications and/or Services (TAAS) that store, process and/or transmit Personal Data (PD) to identify and remediate reasonably-expected risks." + }, + { + "name": "assessment-objective", + "id": "RSK-10_RSK-10_A01", + "prose": "Data Protection Impact Assessments (DPIAs) are conducted for systems, programs or other activities before developing or procuring information technology that processes Personal Data (PD)." + }, + { + "name": "assessment-objective", + "id": "RSK-10_RSK-10_A02", + "prose": "Data Protection Impact Assessments (DPIAs) are conducted for systems, programs or other activities before initiating a collection of Personal Data (PD) that will be processed using information technology." + }, + { + "name": "assessment-objective", + "id": "RSK-10_RSK-10_A03", + "prose": "Data Protection Impact Assessments (DPIAs) are conducted for systems, programs or other activities before initiating a collection of Personal Data (PD) that includes Personal Data (PD) permitting the physical or virtual (online) contacting of a specific individual." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo12.01" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo12.02" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo12.03" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo12.04" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_7" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dsp-09" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:gvn-07" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:gvn-08" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:lgl-01" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:lgl-03" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.33" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_18.1.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.33" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.35-a" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.31-a" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_6.1.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_6.1.2-a" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_6.1.2-a-1" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_6.1.2-a-2" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_6.1.2-b" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_6.1.2-c" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_6.1.2-c-1" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_6.1.2-c-2" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_6.1.2-d" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_6.1.2-d-1" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_6.1.2-d-2" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_6.1.2-d-3" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_6.1.2-e" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_6.1.2-e-1" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_6.1.2-e-2" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_8.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_6.1.4" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_8.4" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.5.3" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.5.4" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.5.5" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:map-1.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:measure-2.10" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:id.im-p7" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:id.ra-p1" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:id.ra-p2" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:id.ra-p3" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:id.ra-p4" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:id.ra-p5" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:id.de-p2" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:id.de-p3" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:gv.mt-p1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ar-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ra-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ra-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ra-08" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:a3.2.2" + } + ] + }, + { + "id": "RSK-11", + "title": "Risk Monitoring", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure risk monitoring as an integral part of the continuous monitoring strategy that includes monitoring the effectiveness of security, compliance and resilience controls, compliance and change management." + }, + { + "name": "assessment-objective", + "id": "RSK-11_RSK-11_A01", + "prose": "risk monitoring is an integral part of the continuous monitoring strategy." + }, + { + "name": "assessment-objective", + "id": "RSK-11_RSK-11_A02", + "prose": "effectiveness monitoring is included in risk monitoring." + }, + { + "name": "assessment-objective", + "id": "RSK-11_RSK-11_A03", + "prose": "compliance monitoring is included in risk monitoring." + }, + { + "name": "assessment-objective", + "id": "RSK-11_RSK-11_A04", + "prose": "change monitoring is included in risk monitoring." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ca-07-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ca-07-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ca-07-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ca-07-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ca-07-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ca-07-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ca-07-04" + } + ] + }, + { + "id": "RSK-12", + "title": "Risk Culture", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "RSK-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure teams are committed to a culture that considers and communicates technology-related risk." + }, + { + "name": "assessment-objective", + "id": "RSK-12_RSK-12_A01", + "prose": "an executive steering committee, or advisory board, defines the organization's risk culture." + }, + { + "name": "assessment-objective", + "id": "RSK-12_RSK-12_A02", + "prose": "a Chief Risk Officer (CRO), or similar position, is tasked with operationalizing the defined risk culture criteria throughout the organization's Business As Usual (BAU) activities." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-4.0" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.rr-01" + } + ] + }, + { + "id": "RSK-13", + "title": "Executive Leadership Approval For Managing Material Risk", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to obtain executive leadership approval for risk management decisions involving material risk." + }, + { + "name": "assessment-objective", + "id": "RSK-13_RSK-13_A01", + "prose": "material risk thresholds are defined." + }, + { + "name": "assessment-objective", + "id": "RSK-13_RSK-13_A02", + "prose": "executive leadership approval for risk management decisions involving material risk is defined." + }, + { + "name": "assessment-objective", + "id": "RSK-13_RSK-13_A03", + "prose": "executive leadership approval for risk management decisions involving material risk is obtained." + }, + { + "name": "assessment-objective", + "id": "RSK-13_RSK-13_A04", + "prose": "executive leadership approval for risk management decisions involving material risk is documented." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + } + ] + }, + { + "id": "RSK-13.1", + "title": "Documented Alternatives", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to document alternative courses of action to ensure executive leadership is reasonably informed of options to manage material risks, including potential:\r\n(1) Benefits;\r\n(2) Drawbacks (including technical limitations);\r\n(3) Costs; and\r\n(4) Timelines." + }, + { + "name": "assessment-objective", + "id": "RSK-13.1_RSK-13.1_A01", + "prose": "potential courses of action are developed to manage material risks with necessary information to make an informed decision." + }, + { + "name": "assessment-objective", + "id": "RSK-13.1_RSK-13.1_A02", + "prose": "potential courses of action to manage material risks are presented to executive leadership." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "part-of", + "href": "#RSK-13" + } + ] + }, + { + "id": "RSK-13.2", + "title": "Documented Justification For Material Risk Management Decisions", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to document executive leadership justification for selecting a specific course of action to manage material risk." + }, + { + "name": "assessment-objective", + "id": "RSK-13.2_RSK-13.3_A01", + "prose": "acceptable methods to document executive leadership justification for selecting a specific course of action to manage material risk are defined." + }, + { + "name": "assessment-objective", + "id": "RSK-13.2_RSK-13.3_A02", + "prose": "executive leadership justification for selecting a specific course of action to manage material risk are documented." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "part-of", + "href": "#RSK-13" + } + ] + } + ] + }, + { + "id": "secure-engineering-architecture", + "title": "Secure Engineering & Architecture", + "controls": [ + { + "id": "SEA-01", + "title": "Secure Engineering Principles", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "SEA-01" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management.1", + "value": "3.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management.2", + "value": "3.5.5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management.3", + "value": "3.8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to facilitate the implementation of industry-recognized security, compliance and resilience practices in the specification, design, development, implementation and modification of Technology Assets, Applications and/or Services (TAAS)." + }, + { + "name": "assessment-objective", + "id": "SEA-01_SEA-01_A01", + "prose": "secure engineering principles are defined." + }, + { + "name": "assessment-objective", + "id": "SEA-01_SEA-01_A02", + "prose": "data privacy engineering principles are defined." + }, + { + "name": "assessment-objective", + "id": "SEA-01_SEA-01_A03", + "prose": "architectural designs that promote effective cybersecurity / data privacy are identified." + }, + { + "name": "assessment-objective", + "id": "SEA-01_SEA-01_A04", + "prose": "systems engineering principles that promote effective cybersecurity / data privacy are identified." + }, + { + "name": "assessment-objective", + "id": "SEA-01_SEA-01_A05", + "prose": "identified architectural designs that promote effective cybersecurity / data privacy are employed." + }, + { + "name": "assessment-objective", + "id": "SEA-01_SEA-01_A06", + "prose": "identified systems engineering principles that promote effective cybersecurity / data privacy are employed." + }, + { + "name": "assessment-objective", + "id": "SEA-01_SEA-01_A07", + "prose": "systems security engineering principles to be applied to the development or modification of the system and system components are defined." + }, + { + "name": "assessment-objective", + "id": "SEA-01_SEA-01_A08", + "prose": "systems security engineering principles are applied in the specification of the system and system components." + }, + { + "name": "assessment-objective", + "id": "SEA-01_SEA-01_A09", + "prose": "cybersecurity / data privacy engineering principles are applied in the design of the system and system components." + }, + { + "name": "assessment-objective", + "id": "SEA-01_SEA-01_A10", + "prose": "cybersecurity / data privacy engineering principles are applied in the development of the system and system components." + }, + { + "name": "assessment-objective", + "id": "SEA-01_SEA-01_A11", + "prose": "cybersecurity / data privacy engineering principles are applied in the implementation of the system and system components." + }, + { + "name": "assessment-objective", + "id": "SEA-01_SEA-01_A12", + "prose": "cybersecurity / data privacy engineering principles are applied in the modification of the system and system components." + }, + { + "name": "assessment-objective", + "id": "SEA-01_SEA-01_A13", + "prose": "thresholds to which attack surfaces are to be reduced are defined." + }, + { + "name": "assessment-objective", + "id": "SEA-01_SEA-01_A14", + "prose": "the developer of the system, system component, or system service is required to reduce attack surfaces to organization-defined thresholds." + }, + { + "name": "assessment-objective", + "id": "SEA-01_SEA-01_A15", + "prose": "systems are prevented from entering unsecure states in the event of an operational failure of a boundary protection device." + }, + { + "name": "assessment-objective", + "id": "SEA-01_SEA-01_A16", + "prose": "Secure Engineering & Architecture (SEA) operations are conducted according to documented policies, standards, procedures and/or other organizational directives." + }, + { + "name": "assessment-objective", + "id": "SEA-01_SEA-01_A17", + "prose": "adequate resources (e.g., people, processes, technologies, data and/or facilities) are provided to support Secure Engineering & Architecture (SEA) operations." + }, + { + "name": "assessment-objective", + "id": "SEA-01_SEA-01_A18", + "prose": "responsibility and authority for the performance of Secure Engineering & Architecture (SEA)-related activities are assigned to designated personnel." + }, + { + "name": "assessment-objective", + "id": "SEA-01_SEA-01_A19", + "prose": "personnel performing Secure Engineering & Architecture (SEA)-related activities have the skills and knowledge needed to perform their assigned duties." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_12.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_12.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_16.0" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_16.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_12.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_12.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_16.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_12.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_12.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_16.1" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo03.01" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo03.02" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo03.03" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo03.04" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo03.05" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo04.05" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_10" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_11" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_14" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dcs-18" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dsp-07" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:i-s-01" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:cls-05" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:gvn-02" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:sws-04" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-10-06" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.12" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.26" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.27" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_14.1.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_14.2.5" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.12" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.26" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.27" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-1.2" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:id.de-p4" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:gv.po-p2" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:cm.aw-p3" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:pr.ds-p5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-37-r2:task-p-15" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ar-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sa-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sa-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-7-18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:si-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pt-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-15-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-07-18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pt-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sa-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sa-15-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sc-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:si-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:sa-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:sc-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:si-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:sc-07-18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pt-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-15-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-07-18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:sa-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:sc-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:si-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sa-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sc-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sc-07-18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:si-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sa-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sc-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sc-07-18" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:si-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sa-15-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pt-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sa-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sc-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:si-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:sa-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:sc-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:si-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:pt-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:pt-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:sa-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:sc-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:si-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:pt-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sa-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sc-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:si-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:pt-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sa-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sc-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:si-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.13.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.12.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.16.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.16.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.16.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.18.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.13.01.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.16.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.13.2-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.13.2-c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.13.2-d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.13.2-f" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.16.01.odp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ir" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ir-01" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ir-03" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a01-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a05-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_6.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_6.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.5.1" + } + ] + }, + { + "id": "SEA-01.1", + "title": "Centralized Management of Security, Compliance & Resilience Controls", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "SEA-01.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to centrally-manage the organization-wide management and implementation of security, compliance and resilience controls and related processes." + }, + { + "name": "assessment-objective", + "id": "SEA-01.1_SEA-01.1_A01", + "prose": "cybersecurity / data privacy controls and related processes to be centrally managed are defined." + }, + { + "name": "assessment-objective", + "id": "SEA-01.1_SEA-01.1_A02", + "prose": "controls and related processes are centrally managed." + }, + { + "name": "overview", + "class": "errata", + "prose": "- renamed\r\n- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_16.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_16.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_16.1" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo03.01" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo03.03" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_10" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_11" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:cls-05" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:gvn-02" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.12" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.12" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-1.2" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:gv.po-p2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:pl-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pl-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pl-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pl-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pl-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:pl-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:pl-9" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ir" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a01-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a05-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.7.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.7.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.7.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.7.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.7.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.7.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.7.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.7.3" + }, + { + "rel": "part-of", + "href": "#SEA-01" + } + ] + }, + { + "id": "SEA-01.2", + "title": "Achieving Resilience Requirements", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "SEA-01.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management.1", + "value": "3.5.5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management.2", + "value": "3.8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to achieve resilience requirements in normal and adverse situations." + }, + { + "name": "assessment-objective", + "id": "SEA-01.2_SEA-01.2_A01", + "prose": "the organization's goals for resiliency are defined for normal and adverse situations." + }, + { + "name": "assessment-objective", + "id": "SEA-01.2_SEA-01.2_A02", + "prose": "solutions exist to achieve resilience requirements in normal situations." + }, + { + "name": "assessment-objective", + "id": "SEA-01.2_SEA-01.2_A03", + "prose": "solutions exist to achieve resilience requirements in adverse situations." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dcs-18" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:measure-2.7" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ir" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ir-02" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ir-03" + }, + { + "rel": "part-of", + "href": "#SEA-01" + } + ] + }, + { + "id": "SEA-01.3", + "title": "Resilience Capabilities", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure security, compliance and resilience are designed and implemented to provide resistance to:\r\n(1) Unintentional errors (by users or software); and \r\n(2) Intentional attack or circumvention." + }, + { + "name": "assessment-objective", + "id": "SEA-01.3_SEA-01.3_A01", + "prose": "cybersecurity and data protection controls are designed and implemented to provide resistance to unintentional errors (by users or software)." + }, + { + "name": "assessment-objective", + "id": "SEA-01.3_SEA-01.3_A02", + "prose": "cybersecurity and data protection controls are designed and implemented to provide resistance to intentional attack or circumvention." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dcs-18" + }, + { + "rel": "part-of", + "href": "#SEA-01" + } + ] + }, + { + "id": "SEA-02", + "title": "Alignment With Enterprise Architecture", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "SEA-02" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to develop an enterprise architecture, aligned with industry-recognized leading practices, with consideration for security, compliance and resilience principles that addresses risk to organizational operations, assets, individuals and other organizations." + }, + { + "name": "assessment-objective", + "id": "SEA-02_SEA-02_A01", + "prose": "an enterprise architecture is developed with consideration for cybersecurity / data privacy." + }, + { + "name": "assessment-objective", + "id": "SEA-02_SEA-02_A02", + "prose": "an enterprise architecture is maintained with consideration for cybersecurity / data privacy." + }, + { + "name": "assessment-objective", + "id": "SEA-02_SEA-02_A03", + "prose": "an enterprise architecture is developed with consideration for the resulting risk to organizational operations and assets, individuals and other organizations." + }, + { + "name": "assessment-objective", + "id": "SEA-02_SEA-02_A04", + "prose": "an enterprise architecture is maintained with consideration for the resulting risk to organizational operations and assets, individuals and other organizations." + }, + { + "name": "assessment-objective", + "id": "SEA-02_SEA-02_A05", + "prose": "frequency for review / update to reflect changes in the enterprise architecture." + }, + { + "name": "assessment-objective", + "id": "SEA-02_SEA-02_A06", + "prose": "a cybersecurity / data privacy architecture for the system describes the requirements and approach to be taken for protecting the confidentiality, integrity and availability of organizational information." + }, + { + "name": "assessment-objective", + "id": "SEA-02_SEA-02_A07", + "prose": "a cybersecurity / data privacy architecture for the system describes how the architecture is integrated into and supports the enterprise architecture." + }, + { + "name": "assessment-objective", + "id": "SEA-02_SEA-02_A08", + "prose": "a cybersecurity / data privacy architecture for the system describes any assumptions about and dependencies on external systems and services." + }, + { + "name": "assessment-objective", + "id": "SEA-02_SEA-02_A09", + "prose": "changes in the enterprise architecture are reviewed / updated per an organization-defined frequency to reflect changes in the enterprise architecture." + }, + { + "name": "assessment-objective", + "id": "SEA-02_SEA-02_A10", + "prose": "planned architecture changes are reflected in the cybersecurity / data privacy plan." + }, + { + "name": "assessment-objective", + "id": "SEA-02_SEA-02_A11", + "prose": "planned architecture changes are reflected in the Concept of Operations (CONOPS)." + }, + { + "name": "assessment-objective", + "id": "SEA-02_SEA-02_A12", + "prose": "planned architecture changes are reflected in criticality analysis." + }, + { + "name": "assessment-objective", + "id": "SEA-02_SEA-02_A13", + "prose": "planned architecture changes are reflected in organizational procedures." + }, + { + "name": "assessment-objective", + "id": "SEA-02_SEA-02_A14", + "prose": "planned architecture changes are reflected in procurements and acquisitions." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_12.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_16.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_12.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_16.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_12.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_16.1" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo02.01" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo03.01" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo03.02" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo03.03" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo03.04" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo03.05" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo04.02" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo04.03" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo04.04" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo04.05" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo04.06" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_10" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:i-s-08" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:gvn-02" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:opa-06" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:opa-07" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:sws-04" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.8" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.26" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_6.1.5" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_14.1.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.8" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.26" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:gv.po-p2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:pl-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:pm-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pl-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pm-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pl-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pm-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:pl-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pl-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pm-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pm-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pl-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pm-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pl-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pm-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pl-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pm-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:pm-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:pl-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:pm-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:pl-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:nfo-pl-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.12.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.16.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.18.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.13.01.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.16.01" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ir" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ir-01" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ir-03" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.2" + } + ] + }, + { + "id": "SEA-02.1", + "title": "Standardized Terminology", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to standardize technology and process terminology to reduce confusion amongst groups and departments." + }, + { + "name": "assessment-objective", + "id": "SEA-02.1_SEA-02.1_A01", + "prose": "technology and process terminology is standardized to reduce confusion amongst groups and departments." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo14.02" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_14" + }, + { + "rel": "mapped-to", + "href": "#iec-tr-60601-4-5-2021:_3.0" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_3" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_3.0" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_3.0" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_3.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_3.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_3" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_3.0" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:gv.po-p2" + }, + { + "rel": "part-of", + "href": "#SEA-02" + } + ] + }, + { + "id": "SEA-02.2", + "title": "Outsourcing Non-Essential Functions or Services", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to identify non-essential functions or services that are capable of being outsourced to external service providers and align with the organization's enterprise architecture and security standards." + }, + { + "name": "assessment-objective", + "id": "SEA-02.2_SEA-02.2_A01", + "prose": "non-essential functions or services to be offloaded are defined." + }, + { + "name": "assessment-objective", + "id": "SEA-02.2_SEA-02.2_A02", + "prose": "non-essential functions or services are offloaded to other systems, system components or an external provider." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pm-07-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pm-07-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:pm-07-01" + }, + { + "rel": "part-of", + "href": "#SEA-02" + } + ] + }, + { + "id": "SEA-02.3", + "title": "Technical Debt Reviews", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to conduct ongoing “technical debt” reviews of hardware and software technologies to remediate outdated and/or unsupported technologies." + }, + { + "name": "assessment-objective", + "id": "SEA-02.3_SEA-02.3_A01", + "prose": "“technical debt” reviews of hardware and software technologies are routinely conducted." + }, + { + "name": "assessment-objective", + "id": "SEA-02.3_SEA-02.3_A02", + "prose": "the results of “technical debt” reviews are leveraged as justification to remediate outdated and/or unsupported technologies." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-1.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.3.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:a3.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.3.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.3.4" + }, + { + "rel": "part-of", + "href": "#SEA-02" + } + ] + }, + { + "id": "SEA-03", + "title": "Defense-In-Depth (DiD) Architecture", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "SEA-03" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to implement security functions as a layered structure minimizing interactions between layers of the design and avoiding any dependence by lower layers on the functionality or correctness of higher layers." + }, + { + "name": "assessment-objective", + "id": "SEA-03_SEA-03_A01", + "prose": "security functions are implemented as a layered structure, minimizing interactions between layers of the design and avoiding any dependence by lower layers on the functionality or correctness of higher layers." + }, + { + "name": "assessment-objective", + "id": "SEA-03_SEA-03_A02", + "prose": "the cybersecurity / data privacy architecture for the system is designed using a defense-in-depth approach that allocates controls to locations and architectural layers." + }, + { + "name": "assessment-objective", + "id": "SEA-03_SEA-03_A03", + "prose": "the cybersecurity / data privacy architecture for the system is designed using a defense-in-depth approach that ensures the allocated controls operate in a coordinated and mutually reinforcing manner." + }, + { + "name": "assessment-objective", + "id": "SEA-03_SEA-03_A04", + "prose": "controls to be allocated are defined." + }, + { + "name": "assessment-objective", + "id": "SEA-03_SEA-03_A05", + "prose": "locations and architectural layers are defined." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo03.01" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo04.05" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:i-s-09" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sd-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:pl-8-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-3-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pl-08-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-03-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pl-08-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-03-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:pl-08-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sc-03-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.13.2" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a01-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a05-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.4.1" + } + ] + }, + { + "id": "SEA-03.1", + "title": "System Partitioning", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to partition systems so that partitions reside in separate physical domains or environments." + }, + { + "name": "assessment-objective", + "id": "SEA-03.1_SEA-03.1_A01", + "prose": "system components to reside in separate physical or logical domains or environments based on circumstances for the physical or logical separation of components are defined." + }, + { + "name": "assessment-objective", + "id": "SEA-03.1_SEA-03.1_A02", + "prose": "circumstances for the physical or logical separation of components are defined." + }, + { + "name": "assessment-objective", + "id": "SEA-03.1_SEA-03.1_A03", + "prose": "the system is partitioned into system components residing in separate organization-defined criteria domains or environments based on circumstances for the physical or logical separation of components." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_3.12" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_3.12" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_3.12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-32" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-32" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-32" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sc-32" + }, + { + "rel": "part-of", + "href": "#SEA-03" + } + ] + }, + { + "id": "SEA-03.2", + "title": "Application Partitioning", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to separate user functionality from system management functionality." + }, + { + "name": "assessment-objective", + "id": "SEA-03.2_SEA-03.2_A01", + "prose": "user functionality is identified." + }, + { + "name": "assessment-objective", + "id": "SEA-03.2_SEA-03.2_A02", + "prose": "system management functionality is identified." + }, + { + "name": "assessment-objective", + "id": "SEA-03.2_SEA-03.2_A03", + "prose": "user functionality is separated from system management functionality." + }, + { + "name": "assessment-objective", + "id": "SEA-03.2_SEA-03.2_A04", + "prose": "the presentation of system management functionality is prevented at interfaces to non-privileged users." + }, + { + "name": "assessment-objective", + "id": "SEA-03.2_SEA-03.2_A05", + "prose": "state information is stored separately from applications and software." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-5.4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-2-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:sc-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sc-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sc-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sc-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sc-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.13.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.13.3-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.13.3-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.13.3-c" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a01-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a05-2025" + }, + { + "rel": "part-of", + "href": "#SEA-03" + } + ] + }, + { + "id": "SEA-04", + "title": "Process Isolation", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to implement a separate execution domain for each executing process." + }, + { + "name": "assessment-objective", + "id": "SEA-04_SEA-04_A01", + "prose": "a separate execution domain is maintained for each executing system process." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iec-tr-60601-4-5-2021:_5.2-cr-2.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-39" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-39" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:sc-39" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-39" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:sc-39" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sc-39" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sc-39" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sc-39" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:nfo-sc-39" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a01-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a05-2025" + } + ] + }, + { + "id": "SEA-04.1", + "title": "Security Function Isolation", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to isolate security functions from non-security functions." + }, + { + "name": "assessment-objective", + "id": "SEA-04.1_SEA-04.1_A01", + "prose": "security functions are isolated from non-security functions." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sc-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:sc-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sc-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sc-03" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a01-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a05-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_2.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.7.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.4.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.4.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_2.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_11.4.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_11.4.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_2.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_11.4.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_2.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_11.4.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_2.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.7.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.4.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.4.6" + }, + { + "rel": "part-of", + "href": "#SEA-04" + } + ] + }, + { + "id": "SEA-04.2", + "title": "Hardware Separation", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to implement underlying hardware separation mechanisms to facilitate process separation." + }, + { + "name": "assessment-objective", + "id": "SEA-04.2_SEA-04.2_A01", + "prose": "hardware separation is implemented to facilitate process isolation." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-39-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-39-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-39-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sc-39-01" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a01-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a05-2025" + }, + { + "rel": "part-of", + "href": "#SEA-04" + } + ] + }, + { + "id": "SEA-04.3", + "title": "Thread Separation", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to maintain a separate execution domain for each thread in multi-threaded processing." + }, + { + "name": "assessment-objective", + "id": "SEA-04.3_SEA-04.3_A01", + "prose": "multi-thread processing for which a separate execution domain is to be maintained for each thread is defined." + }, + { + "name": "assessment-objective", + "id": "SEA-04.3_SEA-04.3_A02", + "prose": "a separate execution domain is maintained for each thread in organization-defined multi-threaded processing." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-39-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-39-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-39-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sc-39-02" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a01-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a05-2025" + }, + { + "rel": "part-of", + "href": "#SEA-04" + } + ] + }, + { + "id": "SEA-04.4", + "title": "System Privileges Isolation", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to isolate, or logically separate, any application, service and/or process running with system privileges." + }, + { + "name": "assessment-objective", + "id": "SEA-04.4_SEA-04.4_A01", + "prose": "systems are configured to isolate, or logically separate, any application, service and/or process running with system privileges." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iec-tr-60601-4-5-2021:_5.2-cr-2.1" + }, + { + "rel": "part-of", + "href": "#SEA-04" + } + ] + }, + { + "id": "SEA-05", + "title": "Information In Shared Resources", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "SEA-05" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to prevent unauthorized and unintended information transfer via shared system resources." + }, + { + "name": "assessment-objective", + "id": "SEA-05_SEA-05_A01", + "prose": "unauthorized information transfer via shared system resources is prevented." + }, + { + "name": "assessment-objective", + "id": "SEA-05_SEA-05_A02", + "prose": "unintended information transfer via shared system resources is prevented." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:sc-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sc-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sc-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sc-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sc-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sc-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.13.4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.13.04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.13.4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.13.04-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.13.04-02" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a01-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a05-2025" + } + ] + }, + { + "id": "SEA-06", + "title": "Prevent Program Execution", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to prevent the execution of unauthorized software programs." + }, + { + "name": "assessment-objective", + "id": "SEA-06_SEA-06_A01", + "prose": "policies, rules of behavior, and/or access agreements regarding software program usage and restrictions are defined." + }, + { + "name": "assessment-objective", + "id": "SEA-06_SEA-06_A02", + "prose": "program execution is prevented in accordance with organization-defined criteria." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cm-7-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cm-07-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:cm-07-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:cm-07-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cm-07-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:cm-07-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cm-07-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:cm-07-02" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a01-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a05-2025" + } + ] + }, + { + "id": "SEA-07", + "title": "Predictable Failure Analysis", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "SEA-07" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to determine the Mean Time to Failure (MTTF) for system components in specific environments of operation." + }, + { + "name": "assessment-objective", + "id": "SEA-07_SEA-07_A01", + "prose": "system components for which Mean Time to Failure (MTTF) should be determined are defined." + }, + { + "name": "assessment-objective", + "id": "SEA-07_SEA-07_A02", + "prose": "Mean Time to Failure (MTTF) substitution criteria to be used as a means to exchange active and standby components are defined." + }, + { + "name": "assessment-objective", + "id": "SEA-07_SEA-07_A03", + "prose": "Mean Time to Failure (MTTF) is determined for system components in specific environments of operation." + }, + { + "name": "assessment-objective", + "id": "SEA-07_SEA-07_A04", + "prose": "substitute system components and a means to exchange active and standby components are provided in accordance with Mean Time to Failure (MTTF) substitution criteria." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:si-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:si-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:si-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ma-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ma-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:nfo-sa-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.16.02.b" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.am-08" + } + ] + }, + { + "id": "SEA-07.1", + "title": "Technology Lifecycle Management", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "SEA-07.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to manage the usable lifecycles of Technology Assets, Applications and/or Services (TAAS)." + }, + { + "name": "assessment-objective", + "id": "SEA-07.1_SEA-07.1_A01", + "prose": "a technology refresh schedule is planned for the system throughout the system development life cycle." + }, + { + "name": "assessment-objective", + "id": "SEA-07.1_SEA-07.1_A02", + "prose": "a technology refresh schedule is implemented for the system throughout the system development life cycle." + }, + { + "name": "assessment-objective", + "id": "SEA-07.1_SEA-07.1_A03", + "prose": "system pre-production environments are protected commensurate with risk throughout the system development life cycle for the system, system component or system service." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai09.03" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai09.04" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:ccm-01" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:ccm-05" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:pol-04" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:set-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sa-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-03-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-03-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-08-30" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sa-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sa-03-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sa-03-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sa-08-30" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:sa-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-03-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-03-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-08-30" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:sa-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sa-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sa-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sa-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:sa-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:sa-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sa-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sa-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:nfo-sa-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.16.02.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.16.02.b" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-09" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.am-08" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ps-02" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ps-03" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.3.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.3.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.3.4" + }, + { + "rel": "part-of", + "href": "#SEA-07" + } + ] + }, + { + "id": "SEA-07.2", + "title": "Fail Secure", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to enable systems to fail to an organization-defined known-state for types of failures, preserving system state information in failure." + }, + { + "name": "assessment-objective", + "id": "SEA-07.2_SEA-07.2_A01", + "prose": "restrictions for safe mode of operation are defined." + }, + { + "name": "assessment-objective", + "id": "SEA-07.2_SEA-07.2_A02", + "prose": "conditions detected to enter a safe mode of operation are defined." + }, + { + "name": "assessment-objective", + "id": "SEA-07.2_SEA-07.2_A03", + "prose": "a safe mode of operation is entered with restrictions when conditions are detected." + }, + { + "name": "assessment-objective", + "id": "SEA-07.2_SEA-07.2_A04", + "prose": "systems or system components that implement the security design principle of secure failure are defined." + }, + { + "name": "assessment-objective", + "id": "SEA-07.2_SEA-07.2_A05", + "prose": "systems or system components that implement the security design principle of secure recovery are defined." + }, + { + "name": "assessment-objective", + "id": "SEA-07.2_SEA-07.2_A06", + "prose": "systems or system components implement the security design principle of secure failure." + }, + { + "name": "assessment-objective", + "id": "SEA-07.2_SEA-07.2_A07", + "prose": "systems or system components implement the security design principle of secure recovery." + }, + { + "name": "assessment-objective", + "id": "SEA-07.2_SEA-07.2_A08", + "prose": "types of system failures for which the system components fail to a known state are defined." + }, + { + "name": "assessment-objective", + "id": "SEA-07.2_SEA-07.2_A09", + "prose": "known system state to which system components fail in the event of a system failure is defined." + }, + { + "name": "assessment-objective", + "id": "SEA-07.2_SEA-07.2_A10", + "prose": "system state information to be preserved in the event of a system failure is defined." + }, + { + "name": "assessment-objective", + "id": "SEA-07.2_SEA-07.2_A11", + "prose": "types of system failures on system components fail to a known system state while preserving system state information in failure." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-5.2-re-3" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:ndr-5.2-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cp-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-24" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cp-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-08-24" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-24" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:sc-24" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cp-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-08-24" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-24" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:cp-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:cp-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sc-24" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cp-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sc-24" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:cp-12" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a01-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a05-2025" + }, + { + "rel": "part-of", + "href": "#SEA-07" + } + ] + }, + { + "id": "SEA-07.3", + "title": "Fail Safe", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to implement fail-safe procedures when failure conditions occur." + }, + { + "name": "assessment-objective", + "id": "SEA-07.3_SEA-07.3_A01", + "prose": "fail-safe procedures associated with failure conditions are defined." + }, + { + "name": "assessment-objective", + "id": "SEA-07.3_SEA-07.3_A02", + "prose": "a list of failure conditions requiring fail-safe procedures is defined." + }, + { + "name": "assessment-objective", + "id": "SEA-07.3_SEA-07.3_A03", + "prose": "fail-safe procedures are implemented when list of failure conditions occur." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:net-1.4" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-3.6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:si-17" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-17" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-17" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:si-17" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:si-17" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:si-17" + }, + { + "rel": "part-of", + "href": "#SEA-07" + } + ] + }, + { + "id": "SEA-08", + "title": "Non-Persistence", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to implement non-persistent system components and services that are initiated in a known state and terminated upon the end of the session of use or periodically at an organization-defined frequency." + }, + { + "name": "assessment-objective", + "id": "SEA-08_SEA-08_A01", + "prose": "non-persistent system components and services to be implemented are defined." + }, + { + "name": "assessment-objective", + "id": "SEA-08_SEA-08_A02", + "prose": "the frequency at which to terminate non-persistent components and services that are initiated in a known state is defined." + }, + { + "name": "assessment-objective", + "id": "SEA-08_SEA-08_A03", + "prose": "non-persistent system components and services that are initiated in a known state are implemented." + }, + { + "name": "assessment-objective", + "id": "SEA-08_SEA-08_A04", + "prose": "non-persistent system components and services are terminated per organization-defined criteria." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-4.2" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-4.2-re-1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-4.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:si-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:si-14" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a01-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a05-2025" + } + ] + }, + { + "id": "SEA-08.1", + "title": "Refresh from Trusted Sources", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "SEA-08.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure that software and data needed for system component and service refreshes are obtained from trusted sources." + }, + { + "name": "assessment-objective", + "id": "SEA-08.1_SEA-08.1_A01", + "prose": "a technology refresh schedule is planned for the system throughout the system development life cycle." + }, + { + "name": "assessment-objective", + "id": "SEA-08.1_SEA-08.1_A02", + "prose": "a technology refresh schedule is implemented for the system throughout the system development life cycle." + }, + { + "name": "assessment-objective", + "id": "SEA-08.1_SEA-08.1_A03", + "prose": "trusted sources to obtain software and data for system component and service refreshes are defined." + }, + { + "name": "assessment-objective", + "id": "SEA-08.1_SEA-08.1_A04", + "prose": "the software and data employed during system component and service refreshes are obtained from organization-defined trusted sources." + }, + { + "name": "assessment-objective", + "id": "SEA-08.1_SEA-08.1_A05", + "prose": "approved systems and system components are identified." + }, + { + "name": "assessment-objective", + "id": "SEA-08.1_SEA-08.1_A06", + "prose": "implemented system components are identified." + }, + { + "name": "assessment-objective", + "id": "SEA-08.1_SEA-08.1_A07", + "prose": "an authoritative source and repository are established to provide a trusted source and accountability for approved and implemented system components." + }, + { + "name": "assessment-objective", + "id": "SEA-08.1_SEA-08.1_A08", + "prose": "an authoritative source and repository are maintained to provide a trusted source and accountability for approved and implemented system components." + }, + { + "name": "assessment-objective", + "id": "SEA-08.1_SEA-08.1_A09", + "prose": "systems and system components to refresh from a known, trusted state are defined." + }, + { + "name": "assessment-objective", + "id": "SEA-08.1_SEA-08.1_A10", + "prose": "the frequency to refresh systems and systems components is defined." + }, + { + "name": "assessment-objective", + "id": "SEA-08.1_SEA-08.1_A11", + "prose": "a known, trusted state is identified for systems and system components." + }, + { + "name": "assessment-objective", + "id": "SEA-08.1_SEA-08.1_A12", + "prose": "systems and system components are refreshed from a known, trusted state per an organization-defined frequency." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:cls-12" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:dat-03" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-3.12" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-3.13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:si-14-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-03-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-14-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sa-03-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-03-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-14-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:si-14-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.14.4e" + }, + { + "rel": "part-of", + "href": "#SEA-08" + } + ] + }, + { + "id": "SEA-09", + "title": "Information Output Filtering", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to validate information output from software programs and/or applications to ensure that the information is consistent with the expected content." + }, + { + "name": "assessment-objective", + "id": "SEA-09_SEA-09_A01", + "prose": "software programs and/or applications whose information output requires validation are defined." + }, + { + "name": "assessment-objective", + "id": "SEA-09_SEA-09_A02", + "prose": "information output from organization-defined software programs and/or applications is validated to ensure that the information is consistent with the expected content." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mp-4.1-009" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:si-15" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-15" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-15" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:si-15" + } + ] + }, + { + "id": "SEA-09.1", + "title": "Limit Personal Data (PD) Dissemination", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to limit the dissemination of Personal Data (PD) to organization-defined elements identified in the Data Protection Impact Assessment (DPIA) and consistent with authorized purposes." + }, + { + "name": "assessment-objective", + "id": "SEA-09.1_SEA-09.1_A01", + "prose": "the dissemination of Personal Data (PD) is restricted to organization-defined elements identified in the Data Protection Impact Assessment (DPIA) and consistent with authorized purposes." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#SEA-09" + } + ] + }, + { + "id": "SEA-10", + "title": "Memory Protection", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to implement security safeguards to protect system memory from unauthorized code execution." + }, + { + "name": "assessment-objective", + "id": "SEA-10_SEA-10_A01", + "prose": "controls to be implemented to protect the system memory from unauthorized code execution are defined." + }, + { + "name": "assessment-objective", + "id": "SEA-10_SEA-10_A02", + "prose": "controls are implemented to protect the system memory from unauthorized code execution." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:si-16" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-16" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:si-16" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-16" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:si-16" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:si-16" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:si-16" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:nfo-si-16" + } + ] + }, + { + "id": "SEA-11", + "title": "Honeypots", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "SEA-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to utilize honeypots that are specifically designed to be the target of malicious attacks for the purpose of detecting, deflecting and analyzing such attacks." + }, + { + "name": "assessment-objective", + "id": "SEA-11_SEA-11_A01", + "prose": "environments or resources which may contain or may be related to anomalous or suspected adversarial behavior are defined." + }, + { + "name": "assessment-objective", + "id": "SEA-11_SEA-11_A02", + "prose": "anomalous or suspected adversarial behavior in or related to organization-defined environments or resources are analyzed." + }, + { + "name": "assessment-objective", + "id": "SEA-11_SEA-11_A03", + "prose": "components within organizational systems specifically designed to be the target of malicious attacks are included to detect such attacks." + }, + { + "name": "assessment-objective", + "id": "SEA-11_SEA-11_A04", + "prose": "components within organizational systems specifically designed to be the target of malicious attacks are included to deflect such attacks." + }, + { + "name": "assessment-objective", + "id": "SEA-11_SEA-11_A05", + "prose": "components within organizational systems specifically designed to be the target of malicious attacks are included to analyze such attacks." + }, + { + "name": "assessment-objective", + "id": "SEA-11_SEA-11_A06", + "prose": "technical and procedural means to confuse and mislead adversaries are defined." + }, + { + "name": "assessment-objective", + "id": "SEA-11_SEA-11_A07", + "prose": "technical and procedural means are employed to confuse and mislead adversaries." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-26" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ir-04-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-26" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ir-04-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ir-04-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-26" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:ir-04-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sc-26" + } + ] + }, + { + "id": "SEA-12", + "title": "Honeyclients", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to utilize honeyclients that proactively seek to identify malicious websites and/or web-based malicious code." + }, + { + "name": "assessment-objective", + "id": "SEA-12_SEA-12_A01", + "prose": "system components that proactively seek to identify network-based malicious code or malicious websites are included." + }, + { + "name": "assessment-objective", + "id": "SEA-12_SEA-12_A02", + "prose": "environments or resources which may contain or may be related to anomalous or suspected adversarial behavior are defined." + }, + { + "name": "assessment-objective", + "id": "SEA-12_SEA-12_A03", + "prose": "anomalous or suspected adversarial behavior in or related to organization-defined environments or resources are analyzed." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-35" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ir-04-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-35" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ir-04-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ir-04-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-35" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:ir-04-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sc-35" + } + ] + }, + { + "id": "SEA-13", + "title": "Heterogeneity", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "SEA-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to utilize a diverse set of technologies for system components to reduce the impact of technical vulnerabilities from the same Original Equipment Manufacturer (OEM)." + }, + { + "name": "assessment-objective", + "id": "SEA-13_SEA-13_A01", + "prose": "diversity in system components is created to reduce the extent of malicious code propagation." + }, + { + "name": "assessment-objective", + "id": "SEA-13_SEA-13_A02", + "prose": "system components requiring a diverse set of information technologies to be employed in the implementation of the system are defined." + }, + { + "name": "assessment-objective", + "id": "SEA-13_SEA-13_A03", + "prose": "a diverse set of information technologies is employed for organization-defined system components in the implementation of the system." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-29" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-29" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-29" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sc-29" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sc-29" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sc-29" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sc-29" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.13.1e" + } + ] + }, + { + "id": "SEA-13.1", + "title": "Virtualization Techniques", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to utilize virtualization techniques to support the employment of a diversity of operating systems and applications." + }, + { + "name": "assessment-objective", + "id": "SEA-13.1_SEA-13.1_A01", + "prose": "the frequency at which to change the diversity of operating systems and applications deployed using virtualization techniques is defined." + }, + { + "name": "assessment-objective", + "id": "SEA-13.1_SEA-13.1_A02", + "prose": "virtualization techniques are employed to support the deployment of a diverse range of operating systems and applications that are changed per an organization-defined frequency." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:i-s-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-29-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-29-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-29-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sc-29-01" + }, + { + "rel": "part-of", + "href": "#SEA-13" + } + ] + }, + { + "id": "SEA-14", + "title": "Concealment & Misdirection", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "SEA-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to utilize concealment and misdirection techniques for Technology Assets, Applications and/or Services (TAAS) to confuse and mislead adversaries." + }, + { + "name": "assessment-objective", + "id": "SEA-14_SEA-14_A01", + "prose": "concealment and misdirection techniques to be employed to confuse and mislead adversaries potentially targeting systems are defined." + }, + { + "name": "assessment-objective", + "id": "SEA-14_SEA-14_A02", + "prose": "systems for which concealment and misdirection techniques are to be employed are defined." + }, + { + "name": "assessment-objective", + "id": "SEA-14_SEA-14_A03", + "prose": "time periods to employ concealment and misdirection techniques for systems are defined." + }, + { + "name": "assessment-objective", + "id": "SEA-14_SEA-14_A04", + "prose": "concealment and misdirection techniques are employed for systems for time periods to confuse and mislead adversaries." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-30" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-30" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-30-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-30-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-30" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-30-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-30-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sc-30" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sc-30-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sc-30-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sc-30" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sc-30-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sc-30-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sc-30" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sc-30-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sc-30-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sc-30" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sc-30-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sc-30-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.13.3e" + } + ] + }, + { + "id": "SEA-14.1", + "title": "Randomness", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to introduce randomness into organizational operations and assets." + }, + { + "name": "assessment-objective", + "id": "SEA-14.1_SEA-14.1_A01", + "prose": "changes to organizational systems and system components to introduce a degree of unpredictability into operations are defined." + }, + { + "name": "assessment-objective", + "id": "SEA-14.1_SEA-14.1_A02", + "prose": "the frequency of changes by system and system components is defined." + }, + { + "name": "assessment-objective", + "id": "SEA-14.1_SEA-14.1_A03", + "prose": "organizational systems and system components necessitating unpredictability are identified." + }, + { + "name": "assessment-objective", + "id": "SEA-14.1_SEA-14.1_A04", + "prose": "changes to organizational systems and system components are implemented frequently to introduce a degree of unpredictability into operations." + }, + { + "name": "assessment-objective", + "id": "SEA-14.1_SEA-14.1_A05", + "prose": "technical and procedural means to confuse and mislead adversaries are defined." + }, + { + "name": "assessment-objective", + "id": "SEA-14.1_SEA-14.1_A06", + "prose": "technical and procedural means are employed to confuse and mislead adversaries." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-30-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-30-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-30-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sc-30-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sc-30-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sc-30-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sc-30-2" + }, + { + "rel": "part-of", + "href": "#SEA-14" + } + ] + }, + { + "id": "SEA-14.2", + "title": "Change Processing & Storage Locations", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to change the location of processing and/or storage at random time intervals." + }, + { + "name": "assessment-objective", + "id": "SEA-14.2_SEA-14.2_A01", + "prose": "processing and/or storage locations to be changed are defined." + }, + { + "name": "assessment-objective", + "id": "SEA-14.2_SEA-14.2_A02", + "prose": "time frequency at which to change the location of processing and/or storage is defined." + }, + { + "name": "assessment-objective", + "id": "SEA-14.2_SEA-14.2_A03", + "prose": "the location of processing and/or storage is changed per an organization-defined criteria." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-30-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-30-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-30-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sc-30-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sc-30-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sc-30-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sc-30-3" + }, + { + "rel": "part-of", + "href": "#SEA-14" + } + ] + }, + { + "id": "SEA-15", + "title": "Distributed Processing & Storage", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "SEA-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to distribute processing and storage across multiple physical locations." + }, + { + "name": "assessment-objective", + "id": "SEA-15_SEA-15_A01", + "prose": "the logical and physical location where the system resides is planned considering physical and environmental hazards." + }, + { + "name": "assessment-objective", + "id": "SEA-15_SEA-15_A02", + "prose": "for existing facilities, physical and environmental hazards are considered in the organizational risk management strategy." + }, + { + "name": "assessment-objective", + "id": "SEA-15_SEA-15_A03", + "prose": "processing components to be distributed across multiple locations/domains are defined." + }, + { + "name": "assessment-objective", + "id": "SEA-15_SEA-15_A04", + "prose": "storage components to be distributed across multiple locations/domains are defined." + }, + { + "name": "assessment-objective", + "id": "SEA-15_SEA-15_A05", + "prose": "processing components are distributed across organization-defined locations." + }, + { + "name": "assessment-objective", + "id": "SEA-15_SEA-15_A06", + "prose": "storage components are distributed across organization-defined locations." + }, + { + "name": "assessment-objective", + "id": "SEA-15_SEA-15_A07", + "prose": "system functions or resources to distribute and relocate are defined." + }, + { + "name": "assessment-objective", + "id": "SEA-15_SEA-15_A08", + "prose": "frequency to distribute and relocate system functions or resources is defined." + }, + { + "name": "assessment-objective", + "id": "SEA-15_SEA-15_A09", + "prose": "system functions or resources are distributed and relocated frequency." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-36" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pe-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-36" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pe-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pe-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-36" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sc-36" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pe-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sc-36" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:pe-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:sc-36" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:pe-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sc-36" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:pe-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sc-36" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.13.5e" + } + ] + }, + { + "id": "SEA-16", + "title": "Non-Modifiable Executable Programs", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to utilize non-modifiable executable programs that load and execute the operating environment and applications from hardware-enforced, read-only media." + }, + { + "name": "assessment-objective", + "id": "SEA-16_SEA-16_A01", + "prose": "system components for which the operating environment and applications are to be loaded and executed from hardware-enforced, read-only media are defined." + }, + { + "name": "assessment-objective", + "id": "SEA-16_SEA-16_A02", + "prose": "applications to be loaded and executed from hardware-enforced, read-only media are defined." + }, + { + "name": "assessment-objective", + "id": "SEA-16_SEA-16_A03", + "prose": "the operating environment for system components is loaded and executed from hardware-enforced, read-only media." + }, + { + "name": "assessment-objective", + "id": "SEA-16_SEA-16_A04", + "prose": "applications for system components are loaded and executed from hardware-enforced, read-only media." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-34" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-34" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-34" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sc-34" + } + ] + }, + { + "id": "SEA-17", + "title": "Secure Log-On Procedures", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to utilize a trusted communications path between the user and the security functions of the system." + }, + { + "name": "assessment-objective", + "id": "SEA-17_SEA-17_A01", + "prose": "a trusted communications path is used between the user and the security functions of the system (e.g., Ctrl+Alt+Del)." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.5" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_9.4.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.5" + } + ] + }, + { + "id": "SEA-18", + "title": "System Use Notification (Logon Banner)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "SEA-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to utilize system use notification / logon banners that display an approved system use notification message or banner before granting access to Technology Assets, Applications and/or Services (TAAS)." + }, + { + "name": "assessment-objective", + "id": "SEA-18_SEA-18_A01", + "prose": "system use notification message or banner to be displayed by the system to users before granting access to the system is defined." + }, + { + "name": "assessment-objective", + "id": "SEA-18_SEA-18_A02", + "prose": "conditions for system use to be displayed by the system before granting further access are defined." + }, + { + "name": "assessment-objective", + "id": "SEA-18_SEA-18_A03", + "prose": "organization-defined system use notification is displayed to users before granting access to the system that provides privacy and security notices consistent with applicable laws, Executive Orders, directives, regulations, policies, standards and guidelines." + }, + { + "name": "assessment-objective", + "id": "SEA-18_SEA-18_A04", + "prose": "the system use notification states that users are accessing a protected system." + }, + { + "name": "assessment-objective", + "id": "SEA-18_SEA-18_A05", + "prose": "the system use notification states that system usage may be monitored, recorded and subject to audit." + }, + { + "name": "assessment-objective", + "id": "SEA-18_SEA-18_A06", + "prose": "the system use notification states that unauthorized use of the system is prohibited and subject to criminal and civil penalties." + }, + { + "name": "assessment-objective", + "id": "SEA-18_SEA-18_A07", + "prose": "the system use notification states that use of the system indicates consent to monitoring and recording." + }, + { + "name": "assessment-objective", + "id": "SEA-18_SEA-18_A08", + "prose": "the notification message or banner is retained on the screen until users acknowledge the usage conditions and take explicit actions to log on to or further access the system." + }, + { + "name": "assessment-objective", + "id": "SEA-18_SEA-18_A09", + "prose": "for publicly accessible systems, system use information organization-defined conditions is displayed before granting further access to the publicly accessible system." + }, + { + "name": "assessment-objective", + "id": "SEA-18_SEA-18_A10", + "prose": "for publicly accessible systems, any references to monitoring, recording or auditing that are consistent with privacy accommodations for such systems that generally prohibit those activities are displayed." + }, + { + "name": "assessment-objective", + "id": "SEA-18_SEA-18_A11", + "prose": "for publicly accessible systems, a description of the authorized uses of the system is included." + }, + { + "name": "assessment-objective", + "id": "SEA-18_SEA-18_A12", + "prose": "a system use notification message with privacy and security notices consistent with applicable CUI rules is displayed before granting access to the system." + }, + { + "name": "assessment-objective", + "id": "SEA-18_SEA-18_A13", + "prose": "privacy and security notices required by statutory/regulatory-specified rules are identified, consistent, and associated with the specific sensitive/regulated data category." + }, + { + "name": "assessment-objective", + "id": "SEA-18_SEA-18_A14", + "prose": "privacy and security notices are displayed." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-1.12" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-1.12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ac-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ac-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ac-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ac-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ac-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.1.9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.9-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.9-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.09" + } + ] + }, + { + "id": "SEA-18.1", + "title": "Standardized Microsoft Windows Banner", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "SEA-18.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to configure Microsoft Windows-based systems to display an approved logon banner before granting access to the system." + }, + { + "name": "assessment-objective", + "id": "SEA-18.1_SEA-18.1_A01", + "prose": "Microsoft Windows-based systems are configured to display an approved logon banner before granting access to the system that provides privacy and security notices." + }, + { + "name": "assessment-objective", + "id": "SEA-18.1_SEA-18.1_A02", + "prose": "a system use notification message with privacy and security notices consistent with applicable CUI rules is displayed before granting access to the system." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-1.12" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-1.12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.1.9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.9-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.9-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.09" + }, + { + "rel": "part-of", + "href": "#SEA-18" + } + ] + }, + { + "id": "SEA-18.2", + "title": "Truncated Banner", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "SEA-18.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to utilize a truncated system use notification / logon banner on systems not capable of displaying a logon banner from a centralized directory services technology (e.g., Active Directory, Entra ID, etc.)." + }, + { + "name": "assessment-objective", + "id": "SEA-18.2_SEA-18.2_A01", + "prose": "where technically feasible, systems utilize a truncated system use notification / logon banner on systems not capable of displaying a logon banner from a centralized source (e.g., Active Directory)." + }, + { + "name": "assessment-objective", + "id": "SEA-18.2_SEA-18.2_A02", + "prose": "a system use notification message with privacy and security notices consistent with applicable CUI rules is displayed before granting access to the system." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-1.12" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-1.12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.1.9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.9-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.9-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.01.09" + }, + { + "rel": "part-of", + "href": "#SEA-18" + } + ] + }, + { + "id": "SEA-19", + "title": "Previous Logon Notification", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to configure systems that process, store or transmit sensitive/regulated data to notify the user, upon successful logon, of the number of unsuccessful logon attempts since the last successful logon." + }, + { + "name": "assessment-objective", + "id": "SEA-19_SEA-19_A01", + "prose": "the user is notified, upon successful logon to the system, of the date and time of the last logon." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:user-1.13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ac-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-09" + } + ] + }, + { + "id": "SEA-20", + "title": "Clock Synchronization", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "SEA-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to utilize time-synchronization technology to synchronize all critical system clocks." + }, + { + "name": "assessment-objective", + "id": "SEA-20_SEA-20_A01", + "prose": "granularity of time measurement for audit record timestamps is defined." + }, + { + "name": "assessment-objective", + "id": "SEA-20_SEA-20_A02", + "prose": "internal system clocks are used to generate timestamps for audit records." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:log-06" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:net-1.9" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-2.11-re-1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-2.11-2" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.17" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_12.4.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.17" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:au-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:au-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:au-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:au-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:au-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:au-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:au-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:au-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.3.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.6.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.6.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.6.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_10.6.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_10.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_10.6.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_10.6.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.6.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.6.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.6.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.6.3" + } + ] + }, + { + "id": "SEA-21", + "title": "Application Container", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "SEA-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to utilize an application container (virtualization approach) to isolate to a known set of dependencies, access methods and interfaces." + }, + { + "name": "assessment-objective", + "id": "SEA-21_SEA-21_A01", + "prose": "application containers (virtualization approach) are used to isolate to a known set of dependencies, access methods and interfaces." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + } + ] + }, + { + "id": "SEA-22", + "title": "Privileged Environments", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to prevent privileged operating environments from existing within unprivileged operating environments, including physical or virtual deployments of Technology Assets, Applications and/or Services (TAAS)." + }, + { + "name": "assessment-objective", + "id": "SEA-22_SEA-22_A01", + "prose": "unprivileged operating environments are defined." + }, + { + "name": "assessment-objective", + "id": "SEA-22_SEA-22_A02", + "prose": "privileged operating environments are defined." + }, + { + "name": "assessment-objective", + "id": "SEA-22_SEA-22_A03", + "prose": "privileged operating environments are prohibited from existing within unprivileged operating environments, including physical or virtual deployments of Assets, Applications & Services (AAS)." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + } + ] + } + ] + }, + { + "id": "security-operations", + "title": "Security Operations", + "controls": [ + { + "id": "OPS-01", + "title": "Operations Security", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "OPS-01" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to facilitate the implementation of operational security controls." + }, + { + "name": "assessment-objective", + "id": "OPS-01_OPS-01_A01", + "prose": "operations security controls to be employed to protect key organizational information throughout the system development life cycle are defined." + }, + { + "name": "assessment-objective", + "id": "OPS-01_OPS-01_A02", + "prose": "operations security controls are employed to protect key organizational information throughout the system development life cycle." + }, + { + "name": "assessment-objective", + "id": "OPS-01_OPS-01_A03", + "prose": "security operations are conducted according to documented policies, standards, procedures and/or other organizational directives." + }, + { + "name": "assessment-objective", + "id": "OPS-01_OPS-01_A04", + "prose": "adequate resources (e.g., people, processes, technologies, data and/or facilities) are provided to support security operations." + }, + { + "name": "assessment-objective", + "id": "OPS-01_OPS-01_A05", + "prose": "responsibility and authority for the performance of security operations-related activities are assigned to designated personnel." + }, + { + "name": "assessment-objective", + "id": "OPS-01_OPS-01_A06", + "prose": "personnel performing security operations-related activities have the skills and knowledge needed to perform their assigned duties." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_14" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_8.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.37" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_12.1.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.37" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_7.5.3" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_7.5.3-a" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_7.5.3-b" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-1.2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-1.3" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-1.4" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-3.2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-4.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-5.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-6.0" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-6.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:map-3.5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-38" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-38" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sr-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sc-38" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sr-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-38" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sr-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sr-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sc-38" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sr-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sc-38" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sr-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sc-38" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sr-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.15.01.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.15.01.b" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.im" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_2.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_3.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_4.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_5.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_7.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.3.8" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_3.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_2.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_3.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_4.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_5.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_6.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.3.8" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_3.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_3.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_8.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_9.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_2.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_3.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_5.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.3.8" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_9.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_10.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_2.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_3.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_8.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_9.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_2.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_3.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_4.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_5.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_7.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.3.8" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_11.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_2.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_3.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_4.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_5.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_7.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.3.8" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-p2pe:_3.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-p2pe:_9.1.1" + } + ] + }, + { + "id": "OPS-01.1", + "title": "Standardized Operating Procedures (SOP)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "OPS-01.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management", + "value": "3.6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to identify and document Standardized Operating Procedures (SOP), or similar documentation, to enable the proper execution of day-to-day / assigned tasks." + }, + { + "name": "assessment-objective", + "id": "OPS-01.1_OPS-01.1_A01", + "prose": "procedures needed to satisfy the security requirements for the protection of sensitive / regulated data are developed and documented." + }, + { + "name": "assessment-objective", + "id": "OPS-01.1_OPS-01.1_A02", + "prose": "procedures needed to satisfy the security requirements for the protection of sensitive / regulated data are disseminated to organizational personnel or roles." + }, + { + "name": "assessment-objective", + "id": "OPS-01.1_OPS-01.1_A03", + "prose": "the current cybersecurity / data privacy procedures are reviewed / updated frequently." + }, + { + "name": "assessment-objective", + "id": "OPS-01.1_OPS-01.1_A04", + "prose": "the current cybersecurity / data privacy procedures are reviewed / updated following events." + }, + { + "name": "assessment-objective", + "id": "OPS-01.1_OPS-01.1_A05", + "prose": "personnel or roles to whom cybersecurity / data privacy procedures are to be disseminated is/are defined." + }, + { + "name": "assessment-objective", + "id": "OPS-01.1_OPS-01.1_A06", + "prose": "events that would require procedures to be reviewed / updated are defined." + }, + { + "name": "assessment-objective", + "id": "OPS-01.1_OPS-01.1_A07", + "prose": "systems or system components that implement the security design principle of sufficient documentation are defined." + }, + { + "name": "assessment-objective", + "id": "OPS-01.1_OPS-01.1_A08", + "prose": "systems or system components implement the security design principle of sufficient documentation." + }, + { + "name": "assessment-objective", + "id": "OPS-01.1_OPS-01.1_A09", + "prose": "policies and procedures are reviewed per an organization-defined frequency." + }, + { + "name": "assessment-objective", + "id": "OPS-01.1_OPS-01.1_A10", + "prose": "policies and procedures are updated per an organization-defined frequency." + }, + { + "name": "assessment-objective", + "id": "OPS-01.1_OPS-01.1_A11", + "prose": "procedures needed to satisfy the security requirements for the protection of CUI are developed and documented." + }, + { + "name": "assessment-objective", + "id": "OPS-01.1_OPS-01.1_A12", + "prose": "procedures needed to satisfy the security requirements for the protection of CUI are disseminated to organizational personnel or roles." + }, + { + "name": "assessment-objective", + "id": "OPS-01.1_OPS-01.1_A13", + "prose": "policies and procedures are reviewed ." + }, + { + "name": "assessment-objective", + "id": "OPS-01.1_OPS-01.1_A14", + "prose": "policies and procedures are updated ." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo01.09" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss01.01" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_10" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_12" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_14" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_8.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.37" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_12.1.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.37" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_8.1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_7.5.1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_7.5.1-a" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_7.5.1-b" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_7.5.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_7.5.3" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_7.5.3-a" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_7.5.3-b" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.6.2.7" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.6.2.8" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-1.0" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-1.2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-1.3" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-1.4" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-3.2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-4.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-5.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-6.0" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-6.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:map-3.5" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:govern-1.2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:govern-1.3" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-1.5-002" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-08-32" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.310-b" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.316-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-08-32" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.15.01.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.15.01.a-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.15.01.a-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.15.01.b-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.15.01.b-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:po.3.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:po.4.2" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.im" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_2.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_3.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_3.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_3.7.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_3.7.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_3.7.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_3.7.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_3.7.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_3.7.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_3.7.8" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_4.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_5.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_7.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.3.8" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_3.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_2.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_3.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_4.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_5.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_6.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_6.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.3.8" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_3.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_3.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_8.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_9.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_2.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_3.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_5.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_6.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.3.8" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_9.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_10.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_2.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_3.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_8.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_9.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_2.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_3.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_3.7.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_3.7.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_3.7.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_3.7.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_3.7.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_3.7.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_3.7.8" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_4.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_5.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_7.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.3.8" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_11.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_2.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_3.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_3.7.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_3.7.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_3.7.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_3.7.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_3.7.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_3.7.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_3.7.8" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_4.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_5.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_7.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.3.8" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-p2pe:_3.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-p2pe:_9.1.1" + }, + { + "rel": "part-of", + "href": "#OPS-01" + } + ] + }, + { + "id": "OPS-02", + "title": "Security Concept Of Operations (CONOPS)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to develop a security Concept of Operations (CONOPS), or a similarly-defined plan for achieving cybersecurity objectives, that documents management, operational and technical measures implemented to apply defense-in-depth techniques that is communicated to all appropriate stakeholders." + }, + { + "name": "assessment-objective", + "id": "OPS-02_OPS-02_A02", + "prose": "a Concept of Operations (CONOPS) for the system describing how the organization intends to operate the system from the perspective of cybersecurity / data privacy is developed." + }, + { + "name": "assessment-objective", + "id": "OPS-02_OPS-02_A01", + "prose": "frequency for review / update of the Concept of Operations (CONOPS) is defined." + }, + { + "name": "assessment-objective", + "id": "OPS-02_OPS-02_A03", + "prose": "the Concept of Operations (CONOPS) is reviewed / updated per an organization-defined frequency." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_10" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-05-13" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:id.be-p3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:pl-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pl-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pl-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pl-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:pl-7" + } + ] + }, + { + "id": "OPS-03", + "title": "Service Delivery (Business Process Support)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "OPS-03" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to define supporting business processes and implement appropriate governance and service management to ensure appropriate planning, delivery and support of the organization's technology capabilities supporting business functions, workforce, and/or customers based on industry-recognized standards to achieve the specific goals of the process area." + }, + { + "name": "assessment-objective", + "id": "OPS-03_OPS-03_A01", + "prose": "supporting business processes are defined." + }, + { + "name": "assessment-objective", + "id": "OPS-03_OPS-03_A02", + "prose": "appropriate governance and service management is implemented to ensure appropriate planning, delivery and support of business functions, workforce, and/or customers." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo01.11" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo08.05" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo09.02" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo09.03" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo09.04" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo09.05" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo11.01" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo11.02" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo11.03" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo11.04" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo11.05" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_13" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:iam-16" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-05-13" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_8.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.37" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_12.1.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.2-a" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.37" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.5-a" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.6.2.7" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.6.2.8" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.9" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.9.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.9.3" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.9.4" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:id.im-p5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ip-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ip-4-1" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.310-b" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.316-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.15.01.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:po.3.2" + } + ] + }, + { + "id": "OPS-04", + "title": "Security Operations Center (SOC)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "OPS-04" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to establish and maintain a Security Operations Center (SOC) that facilitates a 24x7 response capability." + }, + { + "name": "assessment-objective", + "id": "OPS-04_OPS-04_A01", + "prose": "a Security Operations Center (SOC) capability is established and maintained." + }, + { + "name": "assessment-objective", + "id": "OPS-04_OPS-04_A02", + "prose": "a time period to operate a Security Operations Center (SOC) capability is defined." + }, + { + "name": "assessment-objective", + "id": "OPS-04_OPS-04_A03", + "prose": "the Security Operations Center (SOC) capability operates according to an organization-defined time period." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-38" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ir-04-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-38" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sc-38" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ir-04-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-38" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sc-38" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sc-38" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sc-38" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.6.1e" + } + ] + }, + { + "id": "OPS-05", + "title": "Secure Practices Guidelines", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to provide guidelines and recommendations for the secure use of Technology Assets, Applications and/or Services (TAAS) to assist in the configuration, installation and use of the product and/or service." + }, + { + "name": "assessment-objective", + "id": "OPS-05_OPS-05_A01", + "prose": "guidelines and recommendations for the secure use of products and/or services are generated to assist in the configuration, installation and use of the product and/or service." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.6.2.7" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.6.2.8" + } + ] + }, + { + "id": "OPS-06", + "title": "Security Orchestration, Automation, and Response (SOAR)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "OPS-06" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to utilize Security Orchestration, Automation and Response (SOAR) tools to define, prioritize and automate the response to security incidents." + }, + { + "name": "assessment-objective", + "id": "OPS-06_OPS-06_A01", + "prose": "Security Orchestration, Automation and Response (SOAR) tools are used to define, prioritize and automate responses to security incidents." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.11.3e" + } + ] + }, + { + "id": "OPS-07", + "title": "Shadow Information Technology Detection", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "OPS-07" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.33", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.34", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.35", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.36", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.37", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.38", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.39", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to detect the presence of unauthorized Technology Assets, Applications and/or Services (TAAS) in use." + }, + { + "name": "assessment-objective", + "id": "OPS-07_OPS-07_A01", + "prose": "organizational policy prohibits unauthorized software, systems and services in use by the organization (e.g., shadow IT)." + }, + { + "name": "assessment-objective", + "id": "OPS-07_OPS-07_A02", + "prose": "no less than annually, financial expenditures are reviewed for instances of unauthorized software, systems and services in use by the organization (e.g., shadow IT)." + }, + { + "name": "assessment-objective", + "id": "OPS-07_OPS-07_A03", + "prose": "instances of unauthorized software, systems and services in use by the organization (e.g., shadow IT) are investigated as cybersecurity incidents." + }, + { + "name": "assessment-objective", + "id": "OPS-07_OPS-07_A04", + "prose": "personnel responsible for unauthorized software, systems and services are held accountable per the organization's disciplinary processes." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + } + ] + } + ] + }, + { + "id": "security-awareness-training", + "title": "Security Awareness & Training", + "controls": [ + { + "id": "SAT-01", + "title": "Security, Compliance & Resilience-Minded Workforce", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "SAT-01" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management", + "value": "3.4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.33", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.34", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.35", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.36", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.37", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.38", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.39", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.40", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to facilitate the implementation of security workforce development and awareness controls." + }, + { + "name": "assessment-objective", + "id": "SAT-01_SAT-01_A01", + "prose": "a cybersecurity / data privacy workforce development and improvement program is established." + }, + { + "name": "assessment-objective", + "id": "SAT-01_SAT-01_A02", + "prose": "the cybersecurity / data privacy education and awareness program is organization-wide." + }, + { + "name": "assessment-objective", + "id": "SAT-01_SAT-01_A03", + "prose": "the frequency at which to provide security literacy training to system users after initial training is defined." + }, + { + "name": "assessment-objective", + "id": "SAT-01_SAT-01_A04", + "prose": "events that require security literacy training for system users are defined." + }, + { + "name": "assessment-objective", + "id": "SAT-01_SAT-01_A05", + "prose": "security literacy training is provided to system users as part of initial training for new users." + }, + { + "name": "assessment-objective", + "id": "SAT-01_SAT-01_A06", + "prose": "security literacy training is provided to system users after initial training." + }, + { + "name": "assessment-objective", + "id": "SAT-01_SAT-01_A07", + "prose": "Security Awareness & Training (SAT) operations are conducted according to documented policies, standards, procedures and/or other organizational directives." + }, + { + "name": "assessment-objective", + "id": "SAT-01_SAT-01_A08", + "prose": "adequate resources (e.g., people, processes, technologies, data and/or facilities) are provided to support Security Awareness & Training (SAT) operations." + }, + { + "name": "assessment-objective", + "id": "SAT-01_SAT-01_A09", + "prose": "responsibility and authority for the performance of Security Awareness & Training (SAT)-related activities are assigned to designated personnel." + }, + { + "name": "assessment-objective", + "id": "SAT-01_SAT-01_A10", + "prose": "personnel performing Security Awareness & Training (SAT)-related activities have the skills and knowledge needed to perform their assigned duties." + }, + { + "name": "overview", + "class": "errata", + "prose": "- renamed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_14.0" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_14.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_14.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_14.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_14.1" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_4" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:hrs-11" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:trn-01" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:trn-02" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-05-06" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.4-a" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.4-b" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.4-c" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.4-d" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_6.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_6.3" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_6.2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-2.0" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-4.1" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:gv.at-p" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:gv.at-p1" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:gv.at-p2" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:gv.at-p3" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:gv.at-p4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:at-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:pm-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:at-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pm-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:at-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pm-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:at-01" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.308-a-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:at-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pm-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pm-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pm-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pm-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:at-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pm-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:at-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:at-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:pm-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:at-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:pm-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:nfo-at-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.02.01.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.02.01.odp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.02.01.odp-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.02.01.a.01-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.02.01.a.01-02" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.at" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.3.8" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.5.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.6.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.6.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:a3.1.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.3.8" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_12.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_9.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_9.5.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_12.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_9.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_9.5.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_12.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.3.8" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_9.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_9.5.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_12.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_12.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.3.8" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.5.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.6.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.6.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.3.8" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.5.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.6.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.6.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-p2pe:_9.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-p2pe:_9.5.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-p2pe:_12.6.1" + } + ] + }, + { + "id": "SAT-01.1", + "title": "Maintaining Workforce Development Relevancy", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management", + "value": "3.5.3.6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.33", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.34", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.35", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.36", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.37", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.38", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.39", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.40", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to periodically review security workforce development and awareness training to account for changes to:\r\n(1) Organizational policies, standards and procedures;\r\n(2) Assigned roles and responsibilities;\r\n(3) Relevant threats and risks; and\r\n(4) Technological developments." + }, + { + "name": "assessment-objective", + "id": "SAT-01.1_SAT-01.1_A01", + "prose": "security workforce development and awareness training is periodically reviewed to account for changes to organizational policies, standards and procedures." + }, + { + "name": "assessment-objective", + "id": "SAT-01.1_SAT-01.1_A02", + "prose": "security workforce development and awareness training is periodically reviewed to account for changes to assigned roles and responsibilities." + }, + { + "name": "assessment-objective", + "id": "SAT-01.1_SAT-01.1_A03", + "prose": "security workforce development and awareness training is periodically reviewed to account for changes to relevant threats and risks." + }, + { + "name": "assessment-objective", + "id": "SAT-01.1_SAT-01.1_A04", + "prose": "security workforce development and awareness training is periodically reviewed to account for changes to technological developments." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mp-3.4-002" + }, + { + "rel": "part-of", + "href": "#SAT-01" + } + ] + }, + { + "id": "SAT-02", + "title": "Security, Compliance & Resilience Awareness Training", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "SAT-02" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management.1", + "value": "3.5.3.6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management.2", + "value": "3.5.4.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management.3", + "value": "3.5.5.3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management.4", + "value": "3.5.6.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to provide all employees and contractors appropriate security, compliance and resilience awareness education and training that is relevant for their job function." + }, + { + "name": "assessment-objective", + "id": "SAT-02_SAT-02_A01", + "prose": "cybersecurity / data privacy literacy training is provided to system users (including managers, senior executives and contractors) as part of initial training for new users." + }, + { + "name": "assessment-objective", + "id": "SAT-02_SAT-02_A02", + "prose": "cybersecurity / data privacy literacy training is provided to system users (including managers, senior executives and contractors) organization-defined frequency thereafter." + }, + { + "name": "assessment-objective", + "id": "SAT-02_SAT-02_A03", + "prose": "cybersecurity / data privacy literacy training is provided to system users (including managers, senior executives and contractors) when required by system changes or following organization-defined events." + }, + { + "name": "assessment-objective", + "id": "SAT-02_SAT-02_A04", + "prose": "security risks associated with organizational activities involving sensitive / regulated data are identified." + }, + { + "name": "assessment-objective", + "id": "SAT-02_SAT-02_A05", + "prose": "policies, standards and procedures related to the security of the system are identified." + }, + { + "name": "assessment-objective", + "id": "SAT-02_SAT-02_A06", + "prose": "managers, systems administrators and users of the system are made aware of the security risks associated with their activities." + }, + { + "name": "assessment-objective", + "id": "SAT-02_SAT-02_A07", + "prose": "managers, systems administrators and users of the system are made aware of the applicable policies, standards and procedures related to the security of the system." + }, + { + "name": "assessment-objective", + "id": "SAT-02_SAT-02_A08", + "prose": "the frequency at which to provide cybersecurity / data privacy literacy training to system users (including managers, senior executives and contractors) after initial training is defined." + }, + { + "name": "assessment-objective", + "id": "SAT-02_SAT-02_A09", + "prose": "events that require cybersecurity / data privacy literacy training for system users are defined." + }, + { + "name": "assessment-objective", + "id": "SAT-02_SAT-02_A10", + "prose": "techniques to be employed to increase the cybersecurity / data privacy awareness of system users are defined." + }, + { + "name": "assessment-objective", + "id": "SAT-02_SAT-02_A11", + "prose": "events that require security literacy training for system users are defined." + }, + { + "name": "assessment-objective", + "id": "SAT-02_SAT-02_A12", + "prose": "events that require security literacy training content updates are defined." + }, + { + "name": "assessment-objective", + "id": "SAT-02_SAT-02_A13", + "prose": "awareness training is updated frequently or when there are significant changes to the threat." + }, + { + "name": "assessment-objective", + "id": "SAT-02_SAT-02_A14", + "prose": "organization-defined awareness techniques are employed to increase the cybersecurity / data privacy awareness of system users." + }, + { + "name": "assessment-objective", + "id": "SAT-02_SAT-02_A15", + "prose": "literacy training and awareness content is updated organization-defined frequency." + }, + { + "name": "assessment-objective", + "id": "SAT-02_SAT-02_A16", + "prose": "literacy training and awareness content is updated following organization-defined events." + }, + { + "name": "assessment-objective", + "id": "SAT-02_SAT-02_A17", + "prose": "lessons learned from internal or external security incidents or breaches are incorporated into literacy training and awareness techniques." + }, + { + "name": "overview", + "class": "errata", + "prose": "- renamed\r\n- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_14.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_14.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_14.8" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_14.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_14.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_14.8" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_14.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_14.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_14.8" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_14.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_14.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_14.8" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:hrs-12" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:trn-02" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:org-1.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.4-a" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.4-b" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.4-c" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.4-d" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_6.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_6.3" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-6.1-002" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:gv.at-p1" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:gv.at-p2" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:gv.at-p3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:at-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:at-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:at-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:at-02" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.308-a-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:at-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:at-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:at-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:at-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:at-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.2.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.22.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.02.01.a.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.02.01.a.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.02.01.a.03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.02.01.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.06.04.a.03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.2.1-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.2.1-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.2.1-c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.2.1-d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.02.01.odp-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.02.01.odp-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.02.01.a.03-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.02.01.a.03-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.02.01.a.03-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.02.01.a.03-06" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.at" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.at-01" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.3.8" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.5.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.6.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.3.8" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_12.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_12.6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_9.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_9.5.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_12.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_9.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_9.5.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_12.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.3.8" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_9.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_9.5.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_12.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_12.6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_12.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_12.6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.3.8" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.5.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.6.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.3.8" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.5.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.6.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-p2pe:_9.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-p2pe:_9.5.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-p2pe:_12.6.1" + } + ] + }, + { + "id": "SAT-02.1", + "title": "Simulated Cyber Attack Scenario Training", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to include simulated actual cyber-attacks through practical exercises that are aligned with current threat scenarios." + }, + { + "name": "assessment-objective", + "id": "SAT-02.1_SAT-02.1_A01", + "prose": "practical exercises are identified." + }, + { + "name": "assessment-objective", + "id": "SAT-02.1_SAT-02.1_A02", + "prose": "current threat scenarios are identified." + }, + { + "name": "assessment-objective", + "id": "SAT-02.1_SAT-02.1_A03", + "prose": "practical exercises in literacy training that simulate events and incidents are provided." + }, + { + "name": "assessment-objective", + "id": "SAT-02.1_SAT-02.1_A04", + "prose": "individuals involved in training and their supervisors are identified." + }, + { + "name": "assessment-objective", + "id": "SAT-02.1_SAT-02.1_A05", + "prose": "practical exercises that are aligned with current threat scenarios are included in awareness training for roles." + }, + { + "name": "assessment-objective", + "id": "SAT-02.1_SAT-02.1_A06", + "prose": "frequency at which to provide feedback on organizational training results is defined." + }, + { + "name": "assessment-objective", + "id": "SAT-02.1_SAT-02.1_A07", + "prose": "personnel to whom feedback on organizational training results will be provided is/are assigned." + }, + { + "name": "assessment-objective", + "id": "SAT-02.1_SAT-02.1_A08", + "prose": "feedback on organizational training results is provided organization-defined frequency to organization-defined personnel." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:at-2-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:at-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:at-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:at-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:at-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:at-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:at-2-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:at-2-1" + }, + { + "rel": "part-of", + "href": "#SAT-02" + } + ] + }, + { + "id": "SAT-02.2", + "title": "Social Engineering & Mining", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "SAT-02.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to include awareness training on recognizing and reporting potential and actual instances of social engineering and social mining." + }, + { + "name": "assessment-objective", + "id": "SAT-02.2_SAT-02.2_A01", + "prose": "threats from social engineering, advanced persistent threat actors, breaches and suspicious behaviors are identified." + }, + { + "name": "assessment-objective", + "id": "SAT-02.2_SAT-02.2_A02", + "prose": "security literacy training is provided to system users on recognizing indicators of social engineering." + }, + { + "name": "assessment-objective", + "id": "SAT-02.2_SAT-02.2_A03", + "prose": "security literacy training is provided to system users on reporting indicators of social engineering." + }, + { + "name": "assessment-objective", + "id": "SAT-02.2_SAT-02.2_A04", + "prose": "security literacy training is provided to system users on recognizing indicators of social mining." + }, + { + "name": "assessment-objective", + "id": "SAT-02.2_SAT-02.2_A05", + "prose": "security literacy training is provided to system users on reporting indicators of social mining." + }, + { + "name": "assessment-objective", + "id": "SAT-02.2_SAT-02.2_A06", + "prose": "significant changes to the threats from social engineering, advanced persistent threat actors, breaches and suspicious behaviors are identified." + }, + { + "name": "assessment-objective", + "id": "SAT-02.2_SAT-02.2_A07", + "prose": "awareness training is updated per an organization-defined frequency or when there are significant changes to the threat." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_9.0" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_14.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_14.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_14.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_14.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:at-02-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:at-02-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:at-02-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:at-02-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:at-02-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:at-02-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:at-2-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:at-2-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.02.01.a.03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.2.1e" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_12.6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_12.6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_12.6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.6.3.1" + }, + { + "rel": "part-of", + "href": "#SAT-02" + } + ] + }, + { + "id": "SAT-03", + "title": "Role-Based Security, Compliance & Resilience Training", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "SAT-03" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management.1", + "value": "3.5.3.6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management.2", + "value": "3.5.5.3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management.3", + "value": "3.5.6.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to provide role-based security, compliance and resilience-related training: \r\n(1) Before authorizing access to the system or performing assigned duties; \r\n(2) When required by system changes; and \r\n(3) Annually thereafter." + }, + { + "name": "assessment-objective", + "id": "SAT-03_SAT-03_A01", + "prose": "roles and responsibilities for role-based cybersecurity / data privacy training are defined." + }, + { + "name": "assessment-objective", + "id": "SAT-03_SAT-03_A02", + "prose": "events that require role-based security training content updates are defined." + }, + { + "name": "assessment-objective", + "id": "SAT-03_SAT-03_A03", + "prose": "role-based cybersecurity / data privacy training is provided to organizational personnel before authorizing access to the system or sensitive / regulated data." + }, + { + "name": "assessment-objective", + "id": "SAT-03_SAT-03_A04", + "prose": "role-based security training is provided to organizational personnel before performing assigned duties." + }, + { + "name": "assessment-objective", + "id": "SAT-03_SAT-03_A05", + "prose": "role-based cybersecurity / data privacy training is provided to organizational personnel per an organization-defined frequency after initial training." + }, + { + "name": "assessment-objective", + "id": "SAT-03_SAT-03_A06", + "prose": "role-based cybersecurity / data privacy training is provided to organizational personnel when required by system changes or following organization-defined events." + }, + { + "name": "assessment-objective", + "id": "SAT-03_SAT-03_A07", + "prose": "the frequency at which to provide role-based security training to assigned personnel after initial training is defined." + }, + { + "name": "assessment-objective", + "id": "SAT-03_SAT-03_A08", + "prose": "the frequency at which to update role-based security training content is defined." + }, + { + "name": "assessment-objective", + "id": "SAT-03_SAT-03_A09", + "prose": "role-based security training content is updated per an organization-defined frequency." + }, + { + "name": "assessment-objective", + "id": "SAT-03_SAT-03_A10", + "prose": "role-based security training content is updated following organization-defined events." + }, + { + "name": "assessment-objective", + "id": "SAT-03_SAT-03_A11", + "prose": "lessons learned from internal or external security incidents or breaches are incorporated into role-based training." + }, + { + "name": "assessment-objective", + "id": "SAT-03_SAT-03_A12", + "prose": "events that require role-based security training are defined." + }, + { + "name": "assessment-objective", + "id": "SAT-03_SAT-03_A13", + "prose": "incident response training for system users consistent with assigned roles and responsibilities is provided within an organization-defined time period of assuming an incident response role or responsibility or acquiring system access." + }, + { + "name": "assessment-objective", + "id": "SAT-03_SAT-03_A14", + "prose": "incident response training for system users consistent with assigned roles and responsibilities is provided when required by system changes." + }, + { + "name": "assessment-objective", + "id": "SAT-03_SAT-03_A15", + "prose": "incident response training for system users consistent with assigned roles and responsibilities is provided per an organization-defined frequency thereafter." + }, + { + "name": "assessment-objective", + "id": "SAT-03_SAT-03_A16", + "prose": "role-based security training is provided to organizational personnel before authorizing access to the system or CUI." + }, + { + "name": "assessment-objective", + "id": "SAT-03_SAT-03_A17", + "prose": "role-based security training is provided to organizational personnel after initial training." + }, + { + "name": "assessment-objective", + "id": "SAT-03_SAT-03_A18", + "prose": "role-based security training is provided to organizational personnel when required by system changes or following ." + }, + { + "name": "assessment-objective", + "id": "SAT-03_SAT-03_A19", + "prose": "role-based security training content is updated ." + }, + { + "name": "assessment-objective", + "id": "SAT-03_SAT-03_A20", + "prose": "role-based security training content is updated following ." + }, + { + "name": "assessment-objective", + "id": "SAT-03_SAT-03_A21", + "prose": "incident response training for system users consistent with assigned roles and responsibilities is provided within of assuming an incident response role or responsibility or acquiring system access." + }, + { + "name": "assessment-objective", + "id": "SAT-03_SAT-03_A22", + "prose": "incident response training for system users consistent with assigned roles and responsibilities is provided thereafter." + }, + { + "name": "overview", + "class": "errata", + "prose": "- renamed\r\n- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_14.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_14.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_14.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_14.8" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_14.9" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_16.9" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_14.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_14.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_14.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_14.8" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_14.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_14.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_14.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_14.8" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_14.9" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_16.9" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_14.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_14.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_14.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_14.8" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_14.9" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_16.9" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dcs-12" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:trn-01" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:trn-02" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:org-1.5" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sm-4" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_6.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_6.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_7.2" + }, + { + "rel": "mapped-to", + "href": "#iso-29100-2024:_6.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-2.0" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-2.2" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:gv.at-p1" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:gv.at-p2" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:gv.at-p3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:at-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:at-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:at-03-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:at-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:at-03" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.308-a-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:at-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:at-03-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:at-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:at-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:at-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:at-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:at-3-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:at-3-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:at-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:at-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:at-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:at-3-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:at-3-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.2.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.22.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.02.01.a.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.02.01.a.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.02.02.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.02.02.a.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.02.02.a.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.02.02.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.06.04.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.06.04.a.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.06.04.a.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.06.04.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.2.2-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.2.2-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.2.2-c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.02.02.odp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.02.02.odp-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.02.02.odp-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.02.02.odp-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.02.02.a.01-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.02.02.a.01-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.02.02.a.01-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.02.02.a.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.02.02.b-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.02.02.b-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.06.04.a.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.06.04.a.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.06.04.a.03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.2.1e" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:po.2.2" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.at" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.at-01" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.at-02" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.3.8" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.5.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.6.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.6.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_6.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_8.3.8" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_12.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_12.6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_9.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_9.5.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_12.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_9.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_9.5.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_12.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_6.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_8.3.8" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_9.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_9.5.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_12.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_12.6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_12.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_12.6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_8.3.8" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.5.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.6.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.6.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.3.8" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.5.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.6.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.6.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-p2pe:_9.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-p2pe:_9.5.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-p2pe:_12.6.1" + } + ] + }, + { + "id": "SAT-03.1", + "title": "Practical Exercises", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "SAT-03.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management", + "value": "3.5.3.6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to include practical exercises in security, compliance and resilience training that reinforce training objectives." + }, + { + "name": "assessment-objective", + "id": "SAT-03.1_SAT-03.1_A01", + "prose": "practical exercises in cybersecurity / data privacy training that reinforce training objectives are provided." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_14.9" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_14.9" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_14.9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:at-3-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:at-03-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:at-03-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:at-03-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.2.2e" + }, + { + "rel": "part-of", + "href": "#SAT-03" + } + ] + }, + { + "id": "SAT-03.2", + "title": "Suspicious Communications & Anomalous System Behavior", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "SAT-03.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management", + "value": "3.5.4.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to provide training to personnel on organization-defined indicators of malware to recognize suspicious communications and anomalous behavior." + }, + { + "name": "assessment-objective", + "id": "SAT-03.2_SAT-03.2_A01", + "prose": "indicators of malicious code are defined." + }, + { + "name": "assessment-objective", + "id": "SAT-03.2_SAT-03.2_A02", + "prose": "literacy training on recognizing suspicious communications and anomalous behavior in organizational systems using organization-defined indicators of malicious code is provided." + }, + { + "name": "assessment-objective", + "id": "SAT-03.2_SAT-03.2_A03", + "prose": "literacy training on the advanced persistent threat is provided." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_14.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_14.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_14.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_14.6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:at-3-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:at-02-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:at-02-05" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.308-a-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:at-02-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:at-02-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:at-02-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:at-02-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:at-02-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:at-2-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:at-2-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:at-2-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:at-2-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.2.1e" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.5.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_11.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_11.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.5.1.1" + }, + { + "rel": "part-of", + "href": "#SAT-03" + } + ] + }, + { + "id": "SAT-03.3", + "title": "Sensitive / Regulated Data Storage, Handling & Processing", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "SAT-03.3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure that every user accessing a system processing, storing or transmitting sensitive/regulated data is formally trained in data handling requirements." + }, + { + "name": "assessment-objective", + "id": "SAT-03.3_SAT-03.3_A01", + "prose": "personnel or roles to be provided with initial and refresher training in the employment and operation of sensitive / regulated data processing and transparency controls is/are defined." + }, + { + "name": "assessment-objective", + "id": "SAT-03.3_SAT-03.3_A02", + "prose": "the frequency at which to provide refresher training in the employment and operation of sensitive / regulated data processing and transparency controls is defined." + }, + { + "name": "assessment-objective", + "id": "SAT-03.3_SAT-03.3_A03", + "prose": "organization-defined personnel or roles are provided with initial and refresher training organization-defined frequency in the employment and operation of sensitive / regulated data processing and transparency controls." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_14.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_14.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_14.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_14.5" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dsp-17" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:trn-02" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_6.3-a" + }, + { + "rel": "mapped-to", + "href": "#iso-29100-2024:_6.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ar-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:at-03-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:at-03-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:at-03-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.22.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.02.01.a.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.02.02.a.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:po.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.5.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.6.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_12.6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_9.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_9.5.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_9.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_9.5.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_9.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_9.5.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_12.6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_12.6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.5.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.6.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.5.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.6.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-p2pe:_9.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-p2pe:_9.5.1.3" + }, + { + "rel": "part-of", + "href": "#SAT-03" + } + ] + }, + { + "id": "SAT-03.4", + "title": "Vendor Security, Compliance & Resilience Training", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to incorporate vendor-specific security, compliance and resilience training in support of new technology initiatives." + }, + { + "name": "assessment-objective", + "id": "SAT-03.4_SAT-03.4_A01", + "prose": "vendor-specific security training is provided to support new technology initiatives." + }, + { + "name": "overview", + "class": "errata", + "prose": "- renamed\r\n- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#SAT-03" + } + ] + }, + { + "id": "SAT-03.5", + "title": "Privileged Users", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "SAT-03.5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to provide specific training for privileged users to ensure privileged users understand their unique roles and responsibilities" + }, + { + "name": "assessment-objective", + "id": "SAT-03.5_SAT-03.5_A01", + "prose": "specific training for privileged users is provided to ensure privileged users understand their unique roles and responsibilities" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-2.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.02.01.a.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.02.02.a.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:po.2.2" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.at-02" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.1.2" + }, + { + "rel": "part-of", + "href": "#SAT-03" + } + ] + }, + { + "id": "SAT-03.6", + "title": "Cyber Threat Environment", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "SAT-03.6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management.1", + "value": "3.5.3.6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management.2", + "value": "3.5.4.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to provide role-based security, compliance and resilience awareness training that is current and relevant to the cyber threats that users might encounter in day-to-day business operations." + }, + { + "name": "assessment-objective", + "id": "SAT-03.6_SAT-03.6_A01", + "prose": "literacy training on the cyber threat environment is provided." + }, + { + "name": "assessment-objective", + "id": "SAT-03.6_SAT-03.6_A02", + "prose": "system operations reflect current cyber threat information." + }, + { + "name": "assessment-objective", + "id": "SAT-03.6_SAT-03.6_A03", + "prose": "the frequency of providing awareness training is defined." + }, + { + "name": "assessment-objective", + "id": "SAT-03.6_SAT-03.6_A04", + "prose": "the frequency of updating awareness training is defined." + }, + { + "name": "assessment-objective", + "id": "SAT-03.6_SAT-03.6_A05", + "prose": "security literacy training is provided to system users when required by system changes or following ." + }, + { + "name": "assessment-objective", + "id": "SAT-03.6_SAT-03.6_A06", + "prose": "security literacy training content is updated ." + }, + { + "name": "assessment-objective", + "id": "SAT-03.6_SAT-03.6_A07", + "prose": "security literacy training content is updated following ." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:trn-02" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-2.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:at-02-06" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.308-a-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:at-02-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:at-2-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:at-2-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.2.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.02.01.a.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.02.01.a.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.02.01.a.03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.02.01.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.02.02.a.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.02.02.a.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.02.02.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.06.04.a.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.02.01.a.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.02.01.b-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.02.01.b-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.2.1e" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.2.2e" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:po.2.2" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.at-01" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.at-02" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_9.5.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.6.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.6.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_12.6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_9.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_9.5.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_9.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_9.5.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_9.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_9.5.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_12.6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_12.6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_9.5.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.6.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.6.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_9.5.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.6.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.6.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-p2pe:_9.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-p2pe:_9.5.1.3" + }, + { + "rel": "part-of", + "href": "#SAT-03" + } + ] + }, + { + "id": "SAT-03.7", + "title": "Continuing Professional Education (CPE) - Security, Compliance & Resilience Personnel", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "SAT-03.7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure security, compliance and resilience personnel receive Continuing Professional Education (CPE) training to maintain currency and proficiency with industry-recognized secure practices that are pertinent to their assigned roles and responsibilities." + }, + { + "name": "assessment-objective", + "id": "SAT-03.7_SAT-03.7_A01", + "prose": "cybersecurity / data privacy personnel receive Continuing Professional Education (CPE) training to maintain currency and proficiency with industry-recognized secure practices that are pertinent to their assigned roles and responsibilities." + }, + { + "name": "overview", + "class": "errata", + "prose": "- renamed\r\n- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_14.9" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_14.9" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_14.9" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_7.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.06.04.b" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.at-02" + }, + { + "rel": "part-of", + "href": "#SAT-03" + } + ] + }, + { + "id": "SAT-03.8", + "title": "Continuing Professional Education (CPE) - DevOps Personnel", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure application development and operations (DevOps) personnel receive Continuing Professional Education (CPE) training on Secure Software Development Practices (SSDP) to appropriately address evolving threats." + }, + { + "name": "assessment-objective", + "id": "SAT-03.8_SAT-03.8_A01", + "prose": "application development and operations (DevOps) personnel receive Continuing Professional Education (CPE) training on Secure Software Development Practices (SSDP) to appropriately address evolving threats." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_16.9" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_16.9" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_16.9" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_6.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_6.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.2.2" + }, + { + "rel": "part-of", + "href": "#SAT-03" + } + ] + }, + { + "id": "SAT-03.9", + "title": "Counterintelligence Training", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to provide specialized counterintelligence awareness training that enables personnel to collect, interpret and act upon a range of data sources that may signal the presence of a hostile actor." + }, + { + "name": "assessment-objective", + "id": "SAT-03.9_SAT-03.9_A01", + "prose": "specialized counterintelligence awareness training is provided to personnel to collect, interpret and act upon a range of data sources that may signal the presence of a hostile actor." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "part-of", + "href": "#SAT-03" + } + ] + }, + { + "id": "SAT-04", + "title": "Security, Compliance & Resilience Training Records", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "SAT-04" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to document, retain and monitor individual training activities, including:\r\n(1) Initial security, compliance and resilience awareness training;\r\n(2) Recurring awareness training; and\r\n(3) Technology Assets, Applications and/or Services (TAAS)-specific training." + }, + { + "name": "assessment-objective", + "id": "SAT-04_SAT-04_A01", + "prose": "cybersecurity / data privacy training activities, including cybersecurity / data privacy awareness training and specific role-based cybersecurity / data privacy training, are documented." + }, + { + "name": "assessment-objective", + "id": "SAT-04_SAT-04_A02", + "prose": "time period for retaining individual training records is defined." + }, + { + "name": "assessment-objective", + "id": "SAT-04_SAT-04_A03", + "prose": "individual training records are retained for organization-defined time period." + }, + { + "name": "assessment-objective", + "id": "SAT-04_SAT-04_A04", + "prose": "cybersecurity / data privacy training activities, including cybersecurity / data privacy awareness training and specific role-based cybersecurity / data privacy training, are monitored." + }, + { + "name": "overview", + "class": "errata", + "prose": "- renamed\r\n- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:at-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:at-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:at-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:at-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:at-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:at-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:at-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:at-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:at-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:at-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:at-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:nfo-at-4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.6.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_12.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_12.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_12.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_12.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_12.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.6.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.6.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-p2pe:_12.6.1" + } + ] + }, + { + "id": "SAT-05", + "title": "Security, Compliance & Resilience Knowledge Sharing", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to improve knowledge sharing across security, compliance and resilience personnel allowing for:\r\n(1) Efficient operations; and\r\n(2) Rapid and effective response to incidents." + }, + { + "name": "assessment-objective", + "id": "SAT-05_SAT-05_A01", + "prose": "a process to improve cybersecurity and data protection knowledge sharing across security personnel is defined." + }, + { + "name": "assessment-objective", + "id": "SAT-05_SAT-05_A02", + "prose": "cybersecurity and data protection knowledge sharing is implemented across security personnel allowing for more rapid and effective response to incidents." + }, + { + "name": "overview", + "class": "errata", + "prose": "- renamed\r\n- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + } + ] + } + ] + }, + { + "id": "technology-development-acquisition", + "title": "Technology Development & Acquisition", + "controls": [ + { + "id": "TDA-01", + "title": "Technology Development & Acquisition", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "TDA-01" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management", + "value": "3.5.3.3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.33", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.34", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.35", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.36", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.37", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.38", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.39", + "value": "MT-26" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.40", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-26", + "value": "MT-26" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to facilitate the implementation of tailored development and acquisition strategies, contract tools and procurement methods to meet unique business needs." + }, + { + "name": "assessment-objective", + "id": "TDA-01_TDA-01_A01", + "prose": "a system and services acquisition policy is developed and documented." + }, + { + "name": "assessment-objective", + "id": "TDA-01_TDA-01_A02", + "prose": "system and services acquisition procedures to facilitate the implementation of the system and services acquisition policy and associated system and services acquisition controls are developed and documented." + }, + { + "name": "assessment-objective", + "id": "TDA-01_TDA-01_A03", + "prose": "acquisition strategies, contract tools, and procurement methods are implemented to identify supply chain risks." + }, + { + "name": "assessment-objective", + "id": "TDA-01_TDA-01_A04", + "prose": "acquisition strategies, contract tools, and procurement methods are implemented to protect against supply chain risks." + }, + { + "name": "assessment-objective", + "id": "TDA-01_TDA-01_A05", + "prose": "acquisition strategies, contract tools, and procurement methods are implemented to mitigate supply chain risks." + }, + { + "name": "assessment-objective", + "id": "TDA-01_TDA-01_A06", + "prose": "personnel or roles to whom the system and services acquisition policy is to be disseminated is/are defined." + }, + { + "name": "assessment-objective", + "id": "TDA-01_TDA-01_A07", + "prose": "personnel or roles to whom the system and services acquisition procedures are to be disseminated is/are defined." + }, + { + "name": "assessment-objective", + "id": "TDA-01_TDA-01_A08", + "prose": "one or more of the following organization-defined criteria is/are selected: {organization-level. mission/business process-level. system-level}." + }, + { + "name": "assessment-objective", + "id": "TDA-01_TDA-01_A09", + "prose": "an official to manage the system and services acquisition policy and procedures is defined." + }, + { + "name": "assessment-objective", + "id": "TDA-01_TDA-01_A10", + "prose": "the frequency at which the current system and services acquisition policy is reviewed / updated is defined." + }, + { + "name": "assessment-objective", + "id": "TDA-01_TDA-01_A11", + "prose": "events that would require the current system and services acquisition policy to be reviewed / updated are defined." + }, + { + "name": "assessment-objective", + "id": "TDA-01_TDA-01_A12", + "prose": "the frequency at which the current system and services acquisition procedures are reviewed / updated is defined." + }, + { + "name": "assessment-objective", + "id": "TDA-01_TDA-01_A13", + "prose": "events that would require the system and services acquisition procedures to be reviewed / updated are defined." + }, + { + "name": "assessment-objective", + "id": "TDA-01_TDA-01_A14", + "prose": "the system and services acquisition policy is disseminated to organization-defined personnel or roles." + }, + { + "name": "assessment-objective", + "id": "TDA-01_TDA-01_A15", + "prose": "the system and services acquisition procedures are disseminated to organization-defined personnel or roles." + }, + { + "name": "assessment-objective", + "id": "TDA-01_TDA-01_A16", + "prose": "the organization's system and services acquisition policy addresses purpose." + }, + { + "name": "assessment-objective", + "id": "TDA-01_TDA-01_A17", + "prose": "the organization's system and services acquisition policy addresses scope." + }, + { + "name": "assessment-objective", + "id": "TDA-01_TDA-01_A18", + "prose": "the organization's system and services acquisition policy addresses roles." + }, + { + "name": "assessment-objective", + "id": "TDA-01_TDA-01_A19", + "prose": "the organization's system and services acquisition policy addresses responsibilities." + }, + { + "name": "assessment-objective", + "id": "TDA-01_TDA-01_A20", + "prose": "the organization's system and services acquisition policy addresses management commitment." + }, + { + "name": "assessment-objective", + "id": "TDA-01_TDA-01_A21", + "prose": "the organization's system and services acquisition policy addresses coordination among organizational entities." + }, + { + "name": "assessment-objective", + "id": "TDA-01_TDA-01_A22", + "prose": "the organization's system and services acquisition policy addresses compliance." + }, + { + "name": "assessment-objective", + "id": "TDA-01_TDA-01_A23", + "prose": "the organization's system and services acquisition policy is consistent with applicable laws, Executive Orders, directives, regulations, policies, standards, and guidelines." + }, + { + "name": "assessment-objective", + "id": "TDA-01_TDA-01_A24", + "prose": "the organization-defined official is designated to manage the development, documentation, and dissemination of the system and services acquisition policy and procedures." + }, + { + "name": "assessment-objective", + "id": "TDA-01_TDA-01_A25", + "prose": "the system and services acquisition policy is reviewed / updated organization-defined frequency." + }, + { + "name": "assessment-objective", + "id": "TDA-01_TDA-01_A26", + "prose": "the current system and services acquisition policy is reviewed / updated following organization-defined events." + }, + { + "name": "assessment-objective", + "id": "TDA-01_TDA-01_A27", + "prose": "the current system and services acquisition procedures are reviewed / updated organization-defined frequency." + }, + { + "name": "assessment-objective", + "id": "TDA-01_TDA-01_A28", + "prose": "the current system and services acquisition procedures are reviewed / updated following organization-defined events." + }, + { + "name": "assessment-objective", + "id": "TDA-01_TDA-01_A29", + "prose": "systems or system components supporting mission-essential services or functions are defined." + }, + { + "name": "assessment-objective", + "id": "TDA-01_TDA-01_A30", + "prose": "organization's is employed on organization-defined systems or system components supporting essential services or functions to increase the trustworthiness in those systems or components." + }, + { + "name": "assessment-objective", + "id": "TDA-01_TDA-01_A31", + "prose": "systems security engineering principles to be applied to the development or modification of the system and system components are defined." + }, + { + "name": "assessment-objective", + "id": "TDA-01_TDA-01_A32", + "prose": "Technology Development & Acquisition (TDA) operations are conducted according to documented policies, standards, procedures and/or other organizational directives." + }, + { + "name": "assessment-objective", + "id": "TDA-01_TDA-01_A33", + "prose": "adequate resources (e.g., people, processes, technologies, data and/or facilities) are provided to support Technology Development & Acquisition (TDA) operations." + }, + { + "name": "assessment-objective", + "id": "TDA-01_TDA-01_A34", + "prose": "responsibility and authority for the performance of Technology Development & Acquisition (TDA)-related activities are assigned to designated personnel." + }, + { + "name": "assessment-objective", + "id": "TDA-01_TDA-01_A35", + "prose": "personnel performing Technology Development & Acquisition (TDA)-related activities have the skills and knowledge needed to perform their assigned duties." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_15.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_16.0" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_15.7" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo03.02" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo03.03" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo04.01" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai03.02" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_11" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:ais-01" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:ais-04" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:set-06" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:org-2.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.25" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_14.2.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_14.2.7" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.25" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.30" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_5.5" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.6.1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.6.1.3" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.6.2.3" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-1.2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-3.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-4.2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:manage-2.0" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:pl-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sa-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sa-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pl-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pl-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sa-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sa-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sa-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:pl-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:sa-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:sa-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pl-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pl-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:sa-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:sa-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pl-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sa-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sa-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pl-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sa-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sa-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sa-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pl-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sa-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sa-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:pl-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:sa-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:sa-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:sa-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:sa-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:pl-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sa-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sa-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sa-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sa-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:nfo-sa-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.12.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.12.03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.14.01.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.16.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.17.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.16.01.odp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.17.02-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.17.02-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.17.02-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:po.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:po.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:po.3.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:rv.3.4" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.ra-09" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ps-06" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a01-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a02-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a03-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a04-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a05-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a06-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a07-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a08-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a09-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a10-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_6.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_6.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.2.1" + } + ] + }, + { + "id": "TDA-01.1", + "title": "Product Management", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "TDA-01.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-26" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-26", + "value": "MT-26" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to design and implement product management processes to proactively govern the design, development and production of Technology Assets, Applications and/or Services (TAAS) across the System Development Life Cycle (SDLC) to:\r\n(1) Improve functionality;\r\n(2) Enhance security and resiliency capabilities; \r\n(3) Correct security deficiencies; and\r\n(4) Conform with applicable statutory, regulatory and/or contractual obligations." + }, + { + "name": "assessment-objective", + "id": "TDA-01.1_TDA-01.1_A01", + "prose": "product management processes are designed and implemented to ensure products, including systems, software and services, are routinely updated to improve functionality and correct security deficiencies." + }, + { + "name": "assessment-objective", + "id": "TDA-01.1_TDA-01.1_A02", + "prose": "systems or system components supporting mission-essential services or functions are defined." + }, + { + "name": "assessment-objective", + "id": "TDA-01.1_TDA-01.1_A03", + "prose": "organization-defined criteria are employed on systems or system components supporting essential services or functions to increase the trustworthiness in those systems or components." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_15.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_15.7" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo03.02" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo03.03" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai03.03" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai03.05" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai03.10" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai03.11" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai04.01" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai05.02" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai05.03" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai05.04" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai05.05" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai05.06" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai06.01" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai07.07" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai08.01" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai08.02" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai08.03" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_11" + }, + { + "rel": "mapped-to", + "href": "#iec-tr-60601-4-5-2021:_4.2" + }, + { + "rel": "mapped-to", + "href": "#iec-tr-60601-4-5-2021:_4.6.2" + }, + { + "rel": "mapped-to", + "href": "#iec-tr-60601-4-5-2021:_4.6.3" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:dm-6" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sg-1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sg-1-a" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sg-1-b" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sg-1-c" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sg-2" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sg-7" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sg-7-a" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sg-7-b" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sg-7-c" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-3.10" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:edr-3.10" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:hdr-3.10" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:ndr-3.10" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-06-04" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-06-21" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-06-33-a" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-06-34" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-06-34-a" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-06-34-b" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-06-34-c" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-10-01" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-10-01-a" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-10-01-b" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-10-01-c" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-10-03" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-10-04" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-10-04-a" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-10-04-b" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-10-04-c" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-10-04-d" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-10-04-e" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-10-04-f" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-10-05" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-14-01" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:_14.4.3" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.6.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.6.2.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.6.2.7" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.6.2.8" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-1.2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-3.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-4.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-4.2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-5.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-5.2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-6.0" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:map-2.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:manage-2.0" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:manage-2.2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-6.2-005" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mp-1.1-004" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mp-3.4-003" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-1.1-008" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:ct.dp-p1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sa-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sa-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.12.03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:po.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:po.1.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:po.1.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:po.4.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:pw.1.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:pw.4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:pw.4.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:pw.5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:pw.5.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:pw.6.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:pw.8.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:rv.2.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:rv.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:rv.3.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:rv.3.4" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-09" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ps-06" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a01-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a02-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a03-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a04-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a05-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a06-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a07-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a08-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a09-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a10-2025" + }, + { + "rel": "part-of", + "href": "#TDA-01" + } + ] + }, + { + "id": "TDA-01.2", + "title": "Integrity Mechanisms for Software / Firmware Updates", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "TDA-01.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to utilize integrity validation mechanisms for security updates." + }, + { + "name": "assessment-objective", + "id": "TDA-01.2_TDA-01.2_A01", + "prose": "integrity validation mechanisms are utilized for security updates." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.14.1e" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.14.7e" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.ra-09" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a08-2025" + }, + { + "rel": "part-of", + "href": "#TDA-01" + } + ] + }, + { + "id": "TDA-01.3", + "title": "Malware Testing Prior to Release", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to utilize at least one(1) malware detection tool to identify if any known malware exists in the final binaries of the product or security update." + }, + { + "name": "assessment-objective", + "id": "TDA-01.3_TDA-01.3_A01", + "prose": "at least one (1) malware detection tool is used to identify if any known malware exists in the final binaries of the product or security update." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#TDA-01" + } + ] + }, + { + "id": "TDA-01.4", + "title": "DevSecOps", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to integrate security, compliance and resilience into Development, Security and Operations (DevSecOps) to prioritize secure practices throughout the Software Development Lifecycle (SDLC)." + }, + { + "name": "assessment-objective", + "id": "TDA-01.4_TDA-01.4_A01", + "prose": "cybersecurity / data privacy is integrated into emerging Development and Operations (DevOps) to prioritize secure practices throughout the Software Development Lifecycle (SDLC)." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#TDA-01" + } + ] + }, + { + "id": "TDA-02", + "title": "Minimum Viable Product (MVP) Security Requirements", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "TDA-02" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to design, develop and produce Technology Assets, Applications and/or Services (TAAS) in such a way that risk-based technical and functional specifications ensure Minimum Viable Product (MVP) criteria establish an appropriate level of security and resiliency based on applicable risks and threats." + }, + { + "name": "assessment-objective", + "id": "TDA-02_TDA-02_A01", + "prose": "cybersecurity / data privacy functional requirements, descriptions and criteria are included explicitly or by reference using in the acquisition contract for the system, system component or system service." + }, + { + "name": "assessment-objective", + "id": "TDA-02_TDA-02_A02", + "prose": "strength of mechanism requirements, descriptions and criteria are included explicitly or by reference using in the acquisition contract for the system, system component or system service." + }, + { + "name": "assessment-objective", + "id": "TDA-02_TDA-02_A03", + "prose": "cybersecurity / data privacy assurance requirements, descriptions and criteria are included explicitly or by reference using in the acquisition contract for the system, system component or system service." + }, + { + "name": "assessment-objective", + "id": "TDA-02_TDA-02_A04", + "prose": "controls needed to satisfy the cybersecurity / data requirements, descriptions and criteria are included explicitly or by reference using in the acquisition contract for the system, system component or system service." + }, + { + "name": "assessment-objective", + "id": "TDA-02_TDA-02_A05", + "prose": "cybersecurity / data privacy documentation requirements, descriptions and criteria are included explicitly or by reference using in the acquisition contract for the system, system component or system service." + }, + { + "name": "assessment-objective", + "id": "TDA-02_TDA-02_A06", + "prose": "requirements for protecting cybersecurity / data privacy documentation, descriptions and criteria are included explicitly or by reference using in the acquisition contract for the system, system component or system service." + }, + { + "name": "assessment-objective", + "id": "TDA-02_TDA-02_A07", + "prose": "the description of the system development environment and environment in which the system is intended to operate, requirements and criteria are included explicitly or by reference using in the acquisition contract for the system, system component or system service." + }, + { + "name": "assessment-objective", + "id": "TDA-02_TDA-02_A08", + "prose": "the allocation of responsibility or identification of parties responsible for cybersecurity / data privacy requirements, descriptions and criteria are included explicitly or by reference using in the acquisition contract for the system, system component or system service." + }, + { + "name": "assessment-objective", + "id": "TDA-02_TDA-02_A09", + "prose": "the allocation of responsibility or identification of parties responsible for supply chain risk management requirements, descriptions and criteria are included explicitly or by reference using organization-defined criteria." + }, + { + "name": "assessment-objective", + "id": "TDA-02_TDA-02_A10", + "prose": "acceptance criteria requirements and descriptions are included explicitly or by reference using in the acquisition contract for the system, system component or system service." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_16.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_16.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_16.4" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai03.03" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai03.05" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_11" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:sdv-07" + }, + { + "rel": "mapped-to", + "href": "#iec-tr-60601-4-5-2021:_4.2" + }, + { + "rel": "mapped-to", + "href": "#iec-tr-60601-4-5-2021:_4.6.2" + }, + { + "rel": "mapped-to", + "href": "#iec-tr-60601-4-5-2021:_4.6.3" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sm-11" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sr-1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sr-4" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sr-4-a" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sr-4-b" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.25" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.29" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_14.2.9" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.25" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.29" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.30" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.6.2.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sa-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sa-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:sa-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:sa-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sa-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sa-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sa-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:sa-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:sa-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sa-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sa-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:nfo-sa-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.16.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:po.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:po.1.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:po.1.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:pw.1.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:pw.1.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:pw.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:pw.4.4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:pw.5.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:pw.9.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:pw.9.2" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a01-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a02-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a03-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a04-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a05-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a06-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a07-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a08-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a09-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a10-2025" + } + ] + }, + { + "id": "TDA-02.1", + "title": "Ports, Protocols & Services In Use", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to require the developers of Technology Assets, Applications and/or Services (TAAS) to identify early in the Secure Development Life Cycle (SDLC), the functions, ports, protocols and services intended for use." + }, + { + "name": "assessment-objective", + "id": "TDA-02.1_TDA-02.1_A01", + "prose": "the developer of the system, system component or system service is required to identify the functions intended for organizational use." + }, + { + "name": "assessment-objective", + "id": "TDA-02.1_TDA-02.1_A02", + "prose": "the developer of the system, system component or system service is required to identify the ports intended for organizational use." + }, + { + "name": "assessment-objective", + "id": "TDA-02.1_TDA-02.1_A03", + "prose": "the developer of the system, system component or system service is required to identify the protocols intended for organizational use." + }, + { + "name": "assessment-objective", + "id": "TDA-02.1_TDA-02.1_A04", + "prose": "the developer of the system, system component or system service is required to identify the services intended for organizational use." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_12.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_16.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_12.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_16.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_12.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_16.4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sa-4-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-04-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:sa-04-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-04-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sa-04-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sa-04-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:nfo-sa-4-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:pw.4.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.2.4" + }, + { + "rel": "part-of", + "href": "#TDA-02" + } + ] + }, + { + "id": "TDA-02.2", + "title": "Information Assurance Enabled Products", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to limit the use of commercially-provided Information Assurance (IA) and IA-enabled IT products to those products that have been successfully evaluated against a National Information Assurance partnership (NIAP)-approved Protection Profile or the cryptographic module is FIPS-validated or NSA-approved." + }, + { + "name": "assessment-objective", + "id": "TDA-02.2_TDA-02.2_A01", + "prose": "as required per statutory, regulatory or contractual obligations, only information technology products on the FIPS 201-approved products list for the Personal Identity Verification (PIV) capability implemented within organizational systems are employed." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sa-4-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ia-5-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ia-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ia-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-04-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-04-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ia-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ia-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ia-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ia-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:sa-04-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ia-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ia-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-04-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-04-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ia-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ia-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:sa-04-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ia-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ia-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sa-04-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ia-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ia-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sa-04-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sa-4-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sa-4-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sa-4-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:nfo-sa-4-10" + }, + { + "rel": "part-of", + "href": "#TDA-02" + } + ] + }, + { + "id": "TDA-02.3", + "title": "Development Methods, Techniques & Processes", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "TDA-02.3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to require software developers to ensure that their software development processes employ industry-recognized secure practices for secure programming, engineering methods, quality control processes and validation techniques to minimize flawed and/or malformed software." + }, + { + "name": "assessment-objective", + "id": "TDA-02.3_TDA-02.3_A01", + "prose": "cybersecurity / data privacy systems engineering methods are defined." + }, + { + "name": "assessment-objective", + "id": "TDA-02.3_TDA-02.3_A02", + "prose": "software development methods are defined." + }, + { + "name": "assessment-objective", + "id": "TDA-02.3_TDA-02.3_A03", + "prose": "testing, evaluation, assessment, verification and validation methods are defined." + }, + { + "name": "assessment-objective", + "id": "TDA-02.3_TDA-02.3_A04", + "prose": "quality control processes are defined." + }, + { + "name": "assessment-objective", + "id": "TDA-02.3_TDA-02.3_A05", + "prose": "the developer of the system, system component or system service is required to demonstrate the use of a system development life cycle process that includes organization-defined system security engineering methods." + }, + { + "name": "assessment-objective", + "id": "TDA-02.3_TDA-02.3_A06", + "prose": "systems security engineering principles to be applied to the development or modification of the system and system components are defined." + }, + { + "name": "assessment-objective", + "id": "TDA-02.3_TDA-02.3_A07", + "prose": " are applied to the development or modification of the system and system components." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_16.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_16.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_16.1" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai03.12" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:ais-04" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:sdv-07" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.25" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.29" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_14.2.9" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.25" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.29" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.6.1.3" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.6.2.3" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-4.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-4.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sa-4-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-04-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sr-03-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sa-04-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sr-03-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-04-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sr-03-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sr-03-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sr-3-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sr-3-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sr-3-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.16.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.16.01.odp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.16.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:po.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:po.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:po.3.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:po.3.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:po.3.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:po.4.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:pw.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:pw.5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:pw.6.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:rv.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:rv.2" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a04-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_6.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_6.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.2.1" + }, + { + "rel": "part-of", + "href": "#TDA-02" + } + ] + }, + { + "id": "TDA-02.4", + "title": "Pre-Established Secure Configurations", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "TDA-02.4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure vendors / manufacturers:\r\n(1) Deliver the Technology Asset, Application and/or Service (TAAS) with a pre-established, secure configuration implemented; and\r\n(2) Use the pre-established, secure configuration as the default for any subsequent TAAS reinstallation or upgrade." + }, + { + "name": "assessment-objective", + "id": "TDA-02.4_TDA-02.4_A01", + "prose": "pre-established security configurations for the system, component or service are defined." + }, + { + "name": "assessment-objective", + "id": "TDA-02.4_TDA-02.4_A02", + "prose": "the developer of the system, system component or system service is required to deliver the system, component or service with pre-established security configurations implemented." + }, + { + "name": "assessment-objective", + "id": "TDA-02.4_TDA-02.4_A03", + "prose": "the pre-established configurations are used as the default for any subsequent system, component or service reinstallation or upgrade." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-04-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:sa-04-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-04-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sa-04-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sa-4-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sa-4-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.16.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:pw.4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:pw.5.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:pw.9.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:pw.9.2" + }, + { + "rel": "part-of", + "href": "#TDA-02" + } + ] + }, + { + "id": "TDA-02.5", + "title": "Identification & Justification of Ports, Protocols & Services", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to require process owners to identify, document and justify the business need for the ports, protocols and other services necessary to operate their technology solutions." + }, + { + "name": "assessment-objective", + "id": "TDA-02.5_TDA-02.5_A01", + "prose": "process owners identify necessary ports, protocols and other services necessary to operate their technology solutions." + }, + { + "name": "assessment-objective", + "id": "TDA-02.5_TDA-02.5_A02", + "prose": "process owners document legitimate business justifications for the ports, protocols and other services necessary to operate their technology solutions." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_16.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_16.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_16.4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:po.3.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:pw.4.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_1.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.2.5" + }, + { + "rel": "part-of", + "href": "#TDA-02" + } + ] + }, + { + "id": "TDA-02.6", + "title": "Insecure Ports, Protocols & Services", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to mitigate the risk associated with the use of insecure ports, protocols and services necessary to operate technology solutions." + }, + { + "name": "assessment-objective", + "id": "TDA-02.6_TDA-02.6_A01", + "prose": "risks associated with the use of insecure ports, protocols and services necessary to operate technology solutions are appropriately mitigated." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_4.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_4.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_4.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_4.6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:pw.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:pw.4.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.2.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_2.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.2.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_2.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_1.2.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_2.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_2.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.2.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_2.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.2.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_2.2.5" + }, + { + "rel": "part-of", + "href": "#TDA-02" + } + ] + }, + { + "id": "TDA-02.7", + "title": "Security, Compliance & Resilience Representatives For Product Changes", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.33", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to include appropriate security, compliance and resilience representatives in the product feature and/or functionality change control review process." + }, + { + "name": "assessment-objective", + "id": "TDA-02.7_TDA-02.7_A01", + "prose": "cybersecurity / data privacy representatives to be included in the configuration change management and control process are defined." + }, + { + "name": "assessment-objective", + "id": "TDA-02.7_TDA-02.7_A02", + "prose": "configuration change management and control processes in which cybersecurity / data privacy representatives are required to be included are defined." + }, + { + "name": "assessment-objective", + "id": "TDA-02.7_TDA-02.7_A03", + "prose": "organization-defined cybersecurity / data privacy representatives are required to be included in the organization-defined configuration change management and control processes." + }, + { + "name": "overview", + "class": "errata", + "prose": "- renamed\r\n- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sr-5" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sr-5-a" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sr-5-b" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sr-5-c" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sr-5-d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-10-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-10-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:pw.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:rv.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:rv.3.4" + }, + { + "rel": "part-of", + "href": "#TDA-02" + } + ] + }, + { + "id": "TDA-02.8", + "title": "Minimizing Attack Surfaces", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.33", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to minimize the attack surface of Technology Assets, Applications and/or Services (TAAS) by reasonably mitigating known exploitable vulnerabilities." + }, + { + "name": "assessment-objective", + "id": "TDA-02.8_TDA-02.8_A01", + "prose": "the attack surface of products and/or services is minimized by reasonably mitigating known exploitable vulnerabilities." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#TDA-02" + } + ] + }, + { + "id": "TDA-02.9", + "title": "Ongoing Product Security Support", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.33", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to deliver security updates to Technology Assets, Applications and/or Services (TAAS), where applicable, through:\r\n(1) Automatic updates; and\r\n(2) Notification of available updates to affected users." + }, + { + "name": "assessment-objective", + "id": "TDA-02.9_TDA-02.9_A01", + "prose": "security updates are delivered to products and/or services, where applicable, through automatic updates." + }, + { + "name": "assessment-objective", + "id": "TDA-02.9_TDA-02.9_A02", + "prose": "security updates are delivered to products and/or services, where applicable, through notification of available updates to affected users." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sum-2" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sum-2-a" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sum-2-b" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sum-2-c" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sum-2-d" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sum-2-e" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sum-4" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sum-5" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sum-5-a" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sum-5-b" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sum-5-c" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sum-5-d" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sum-5-e" + }, + { + "rel": "part-of", + "href": "#TDA-02" + } + ] + }, + { + "id": "TDA-02.10", + "title": "Product Testing & Reviews", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.33", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to regularly review Technology Assets, Applications and/or Services (TAAS) for an appropriate level of security and resiliency based on applicable risks and threats." + }, + { + "name": "assessment-objective", + "id": "TDA-02.10_TDA-02.10_A01", + "prose": "an appropriate level of security and resiliency for products and/or services is defined." + }, + { + "name": "assessment-objective", + "id": "TDA-02.10_TDA-02.10_A02", + "prose": "products and/or services are regularly reviewed for an appropriate level of security and resiliency based on applicable risks and threats." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sm-11-a" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sm-11-b" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sm-11-c" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sm-11-d" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sm-11-e" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sm-12" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sum-1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sum-1-1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sum-1-2" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sum-1-2-a" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sum-1-2-b" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sum-1-2-c" + }, + { + "rel": "part-of", + "href": "#TDA-02" + } + ] + }, + { + "id": "TDA-02.11", + "title": "Disclosure of Vulnerabilities", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.33", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to disclose information about vulnerabilities to relevant stakeholders, including:\r\n(1) A description of the vulnerability(ies);\r\n(2) Affected product(s) and/or service(s);\r\n(3) Potential impact of the vulnerability(ies);\r\n(4) Severity of the vulnerability(ies); and\r\n(5) Guidance to remediate the vulnerability(ies)." + }, + { + "name": "assessment-objective", + "id": "TDA-02.11_TDA-02.11_A01", + "prose": "stakeholder vulnerability disclosures contain a description of the vulnerability(ies)." + }, + { + "name": "assessment-objective", + "id": "TDA-02.11_TDA-02.11_A02", + "prose": "stakeholder vulnerability disclosures contain information about affected product(s) and/or service(s)." + }, + { + "name": "assessment-objective", + "id": "TDA-02.11_TDA-02.11_A03", + "prose": "stakeholder vulnerability disclosures contain information about potential impact of the vulnerability(ies)." + }, + { + "name": "assessment-objective", + "id": "TDA-02.11_TDA-02.11_A04", + "prose": "stakeholder vulnerability disclosures contain information about the severity of the vulnerability(ies)." + }, + { + "name": "assessment-objective", + "id": "TDA-02.11_TDA-02.11_A05", + "prose": "stakeholder vulnerability disclosures contain information about guidance to remediate the vulnerability(ies)." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:dm-5" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:dm-5-a" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:dm-5-b" + }, + { + "rel": "part-of", + "href": "#TDA-02" + } + ] + }, + { + "id": "TDA-02.12", + "title": "Products With Digital Elements", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.33", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to categorize applicable security and resiliency requirements for products and/or services with digital elements." + }, + { + "name": "assessment-objective", + "id": "TDA-02.12_TDA-02.12_A01", + "prose": "a categorization scheme for products and/or services with digital elements is developed to define security and resiliency requirements." + }, + { + "name": "assessment-objective", + "id": "TDA-02.12_TDA-02.12_A02", + "prose": "products and/or services with digital elements are categorized according to applicable security and resiliency requirements." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#TDA-02" + } + ] + }, + { + "id": "TDA-02.13", + "title": "Reporting Exploitable Vulnerabilities", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.33", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to notify applicable stakeholders about potentially exploitable vulnerabilities in organization-developed Technology Assets, Applications and/or Services (TAAS), as required by statutory, regulatory and/or contractual obligations." + }, + { + "name": "assessment-objective", + "id": "TDA-02.13_TDA-02.13_A01", + "prose": "applicable stakeholders are notified about potentially exploitable vulnerabilities in organization-developed products and/or services, as required by statutory, regulatory and/or contractual obligations." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#TDA-02" + } + ] + }, + { + "id": "TDA-02.14", + "title": "Logging Syntax", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to require system developers to use an industry-defined secure logging format to generate event logs for specified event types at organization-defined level of detail." + }, + { + "name": "assessment-objective", + "id": "TDA-02.14_TDA-02.14_A01", + "prose": "industry-defined secure logging formats are used to generate event logs." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-15-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-15-13" + }, + { + "rel": "part-of", + "href": "#TDA-02" + } + ] + }, + { + "id": "TDA-03", + "title": "Commercial Off-The-Shelf (COTS) Security Solutions", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "TDA-03" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to utilize only Commercial Off-the-Shelf (COTS) security products." + }, + { + "name": "assessment-objective", + "id": "TDA-03_TDA-03_A01", + "prose": "the organization only uses Commercial Off-the-Shelf (COTS) security products." + }, + { + "name": "assessment-objective", + "id": "TDA-03_TDA-03_A02", + "prose": "for classified environments, only Government Off-The-Shelf (GOTS)or Commercial Off-The-Shelf (COTS) information assurance and information assurance-enabled information technology products that compose an NSA-approved solution are employed." + }, + { + "name": "assessment-objective", + "id": "TDA-03_TDA-03_A03", + "prose": "for classified environments, GOTS and COTS products have been evaluated and/or validated by NSA or in accordance with NSA-approved procedures." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-06-21" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-06-21-a" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-06-21-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sa-4-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-04-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-04-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.16.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:pw.4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:pw.4.1" + } + ] + }, + { + "id": "TDA-03.1", + "title": "Supplier Diversity", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.33", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.34", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.35", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.36", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.37", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.38", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.39", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to obtain security, compliance and resilience technologies from different suppliers to minimize supply chain risk." + }, + { + "name": "assessment-objective", + "id": "TDA-03.1_TDA-03.1_A01", + "prose": "system components with a diverse set of sources are defined." + }, + { + "name": "assessment-objective", + "id": "TDA-03.1_TDA-03.1_A02", + "prose": "services with a diverse set of sources are defined." + }, + { + "name": "assessment-objective", + "id": "TDA-03.1_TDA-03.1_A03", + "prose": "a diverse set of sources is employed for system components." + }, + { + "name": "assessment-objective", + "id": "TDA-03.1_TDA-03.1_A04", + "prose": "a diverse set of sources is employed for services." + }, + { + "name": "assessment-objective", + "id": "TDA-03.1_TDA-03.1_A05", + "prose": "controls to be allocated are defined." + }, + { + "name": "assessment-objective", + "id": "TDA-03.1_TDA-03.1_A06", + "prose": "locations and architectural layers are defined." + }, + { + "name": "assessment-objective", + "id": "TDA-03.1_TDA-03.1_A07", + "prose": "controls that are allocated to locations and architectural layers are required to be obtained from different suppliers." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:pl-8-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pl-08-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sr-03-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sr-03-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pl-08-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sr-03-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:pl-08-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sr-03-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pl-8-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sr-3-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:pl-8-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sr-3-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:pl-8-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sr-3-1" + }, + { + "rel": "part-of", + "href": "#TDA-03" + } + ] + }, + { + "id": "TDA-04", + "title": "Documentation Requirements", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "TDA-04" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to obtain, protect and distribute administrator documentation for Technology Assets, Applications and/or Services (TAAS) that describe:\r\n(1) Secure configuration, installation and operation of the TAAS;\r\n(2) Effective use and maintenance of security features/functions; and\r\n(3) Known vulnerabilities regarding configuration and use of administrative (e.g., privileged) functions." + }, + { + "name": "assessment-objective", + "id": "TDA-04_TDA-04_A01", + "prose": "administrator documentation for the system, system component or system service that describes the secure configuration of the system, component or service is obtained or developed." + }, + { + "name": "assessment-objective", + "id": "TDA-04_TDA-04_A02", + "prose": "administrator documentation for the system, system component or system service that describes the secure installation of the system, component or service is obtained or developed." + }, + { + "name": "assessment-objective", + "id": "TDA-04_TDA-04_A03", + "prose": "administrator documentation for the system, system component or system service that describes the secure operation of the system, component or service is obtained or developed." + }, + { + "name": "assessment-objective", + "id": "TDA-04_TDA-04_A04", + "prose": "administrator documentation for the system, system component or system service that describes the effective use of cybersecurity / data privacy functions and mechanisms is obtained or developed." + }, + { + "name": "assessment-objective", + "id": "TDA-04_TDA-04_A05", + "prose": "administrator documentation for the system, system component or system service that describes the effective maintenance of cybersecurity / data privacy functions and mechanisms is obtained or developed." + }, + { + "name": "assessment-objective", + "id": "TDA-04_TDA-04_A06", + "prose": "user documentation for the system, system component or system service that describes user-accessible cybersecurity / data privacy functions and mechanisms is obtained or developed." + }, + { + "name": "assessment-objective", + "id": "TDA-04_TDA-04_A07", + "prose": "user documentation for the system, system component or system service that describes how to effectively use those (user-accessible cybersecurity / data privacy) functions and mechanisms is obtained or developed." + }, + { + "name": "assessment-objective", + "id": "TDA-04_TDA-04_A08", + "prose": "user documentation for the system, system component or system service that describes methods for user interaction, which enable individuals to use the system, component or service in a more secure manner is obtained or developed." + }, + { + "name": "assessment-objective", + "id": "TDA-04_TDA-04_A09", + "prose": "user documentation for the system, system component or system service that describes methods for user interaction, which enable individuals to use the system, component or service to protect individual privacy is obtained or developed." + }, + { + "name": "assessment-objective", + "id": "TDA-04_TDA-04_A10", + "prose": "user documentation for the system, system component or system service that describes user responsibilities for maintaining the cybersecurity / data privacy of the system, component or service is obtained or developed." + }, + { + "name": "assessment-objective", + "id": "TDA-04_TDA-04_A11", + "prose": "actions to take when system, system component or system service documentation is either unavailable or nonexistent are defined." + }, + { + "name": "assessment-objective", + "id": "TDA-04_TDA-04_A12", + "prose": "personnel or roles to distribute system documentation to is/are defined." + }, + { + "name": "assessment-objective", + "id": "TDA-04_TDA-04_A13", + "prose": "administrator documentation for the system, system component or system service that describes known vulnerabilities regarding the configuration of administrative or privileged functions is obtained or developed." + }, + { + "name": "assessment-objective", + "id": "TDA-04_TDA-04_A14", + "prose": "administrator documentation for the system, system component or system service that describes known vulnerabilities regarding the use of administrative or privileged functions is obtained or developed." + }, + { + "name": "assessment-objective", + "id": "TDA-04_TDA-04_A15", + "prose": "attempts to obtain system, system component or system service documentation when such documentation is either unavailable or nonexistent is documented." + }, + { + "name": "assessment-objective", + "id": "TDA-04_TDA-04_A16", + "prose": "after attempts to obtain system, system component or system service documentation when such documentation is either unavailable or nonexistent, actions are taken in response." + }, + { + "name": "assessment-objective", + "id": "TDA-04_TDA-04_A17", + "prose": "documentation is distributed to personnel or roles." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iec-tr-60601-4-5-2021:_6-a" + }, + { + "rel": "mapped-to", + "href": "#iec-tr-60601-4-5-2021:_6-b" + }, + { + "rel": "mapped-to", + "href": "#iec-tr-60601-4-5-2021:_6-c" + }, + { + "rel": "mapped-to", + "href": "#iec-tr-60601-4-5-2021:_6-d" + }, + { + "rel": "mapped-to", + "href": "#iec-tr-60601-4-5-2021:_6-e" + }, + { + "rel": "mapped-to", + "href": "#iec-tr-60601-4-5-2021:_6-f" + }, + { + "rel": "mapped-to", + "href": "#iec-tr-60601-4-5-2021:_6-g" + }, + { + "rel": "mapped-to", + "href": "#iec-tr-60601-4-5-2021:_6-h" + }, + { + "rel": "mapped-to", + "href": "#iec-tr-60601-4-5-2021:_6-i" + }, + { + "rel": "mapped-to", + "href": "#iec-tr-60601-4-5-2021:_6-j" + }, + { + "rel": "mapped-to", + "href": "#iec-tr-60601-4-5-2021:_6-k" + }, + { + "rel": "mapped-to", + "href": "#iec-tr-60601-4-5-2021:_6-l" + }, + { + "rel": "mapped-to", + "href": "#iec-tr-60601-4-5-2021:_6-m" + }, + { + "rel": "mapped-to", + "href": "#iec-tr-60601-4-5-2021:_6-n" + }, + { + "rel": "mapped-to", + "href": "#iec-tr-60601-4-5-2021:_6-o" + }, + { + "rel": "mapped-to", + "href": "#iec-tr-60601-4-5-2021:_6-p" + }, + { + "rel": "mapped-to", + "href": "#iec-tr-60601-4-5-2021:_6-q" + }, + { + "rel": "mapped-to", + "href": "#iec-tr-60601-4-5-2021:_6-r" + }, + { + "rel": "mapped-to", + "href": "#iec-tr-60601-4-5-2021:_6-s" + }, + { + "rel": "mapped-to", + "href": "#iec-tr-60601-4-5-2021:_6-t" + }, + { + "rel": "mapped-to", + "href": "#iec-tr-60601-4-5-2021:_6-u" + }, + { + "rel": "mapped-to", + "href": "#iec-tr-60601-4-5-2021:_6-v" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sg-3" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sg-3-a" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sg-3-b" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sg-3-c" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sg-3-d" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sg-3-d-1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sg-3-d-2" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sg-3-d-3" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sg-3-e" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sg-3-f" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sg-3-g" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sg-3-h" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sg-4" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sg-4-a" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sg-4-b" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sg-4-c" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sg-4-d" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sg-5" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sg-5-a" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sg-5-b" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sg-6" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sg-6-a" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sg-6-b" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-06-21-c" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.6.2.7" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.6.2.8" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-4.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sa-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sa-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:sa-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:sa-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sa-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sa-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:cm-8-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sa-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:sa-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:cm-8-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sa-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:nfo-sa-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:po.3.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:ps.3.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:rv.1.1" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a01-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a02-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a03-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a04-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a05-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a06-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a07-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a08-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a09-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a10-2025" + } + ] + }, + { + "id": "TDA-04.1", + "title": "Functional Properties", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to require software developers to provide information describing the functional properties of the security, compliance and resilience controls to be utilized within Technology Assets, Applications and/or Services (TAAS) in sufficient detail to permit analysis and testing of the controls." + }, + { + "name": "assessment-objective", + "id": "TDA-04.1_TDA-04.1_A01", + "prose": "the developer of the system, system component or system service is required to provide a description of the functional properties of the controls to be implemented." + }, + { + "name": "assessment-objective", + "id": "TDA-04.1_TDA-04.1_A02", + "prose": "organization-defined criteria for security-relevant information pertaining to external system interfaces, high-level design, low-level design, source code or hardware schematics and design and implementation information are documented in a System Security & Privacy Plan (SSPP), or similar document." + }, + { + "name": "assessment-objective", + "id": "TDA-04.1_TDA-04.1_A03", + "prose": "design and implementation information is defined." + }, + { + "name": "assessment-objective", + "id": "TDA-04.1_TDA-04.1_A04", + "prose": "level of detail is defined." + }, + { + "name": "assessment-objective", + "id": "TDA-04.1_TDA-04.1_A05", + "prose": "the developer of the system, system component or system service is required to provide design and implementation information for the controls that includes using at level of detail." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sr-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sa-4-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sa-4-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-04-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-04-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sa-04-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sa-04-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:sa-04-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:sa-04-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-04-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-04-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sa-04-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sa-04-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sa-04-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sa-04-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:cm-8-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:cm-8-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:nfo-sa-4-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:nfo-sa-4-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:po.3.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:rv.1.1" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a01-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a02-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a03-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a04-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a05-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a06-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a07-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a08-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a09-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a10-2025" + }, + { + "rel": "part-of", + "href": "#TDA-04" + } + ] + }, + { + "id": "TDA-04.2", + "title": "Software Bill of Materials (SBOM)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "TDA-04.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to generate, or obtain, a Software Bill of Materials (SBOM) for Technology Assets, Applications and/or Services (TAAS) that lists software packages in use, including versions and applicable licenses." + }, + { + "name": "assessment-objective", + "id": "TDA-04.2_TDA-04.2_A01", + "prose": "a Software Bill of Materials (SBOM) for systems, applications and services lists software packages in use, including versions and applicable licenses." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_16.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_16.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_16.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_16.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_16.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_16.4" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:sta-09" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:sdv-02" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sum-3" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sum-3-a" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sum-3-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:cm-8-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:cm-8-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:ps.3.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:pw.4.4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:rv.1.1" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.oc-05" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a03-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_6.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.3.2" + }, + { + "rel": "part-of", + "href": "#TDA-04" + } + ] + }, + { + "id": "TDA-05", + "title": "Developer Architecture & Design", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "TDA-05" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.33", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.34", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.35", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.36", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.37", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.38", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.39", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to require the developers of Technology Assets, Applications and/or Services (TAAS) to produce a design specification and security architecture that: \r\n(1) Is consistent with and supportive of the organization's security architecture which is established within and is an integrated part of the organization's enterprise architecture;\r\n(2) Accurately and completely describes the required security functionality and the allocation of security, compliance and resilience controls among physical and logical components; and\r\n(3) Expresses how individual security functions, mechanisms and services work together to provide required security capabilities and a unified approach to protection." + }, + { + "name": "assessment-objective", + "id": "TDA-05_TDA-05_A01", + "prose": "the developer of the system, system component or system service is required to produce a design specification and cybersecurity / data privacy architecture that are consistent with the organization's security architecture, which is an integral part the organization's enterprise architecture." + }, + { + "name": "assessment-objective", + "id": "TDA-05_TDA-05_A02", + "prose": "the developer of the system, system component or system service is required to produce a design specification and cybersecurity / data privacy architecture that accurately and completely describe the required security functionality and the allocation of controls among physical and logical components." + }, + { + "name": "assessment-objective", + "id": "TDA-05_TDA-05_A03", + "prose": "the developer of the system, system component or system service is required to produce a design specification and cybersecurity / data privacy architecture that express how individual security functions, mechanisms and services work together to provide required security capabilities and a unified approach to protection." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_16.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_16.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_16.1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sd-1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sd-1-a" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sd-1-b" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sd-1-c" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sd-1-d" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sd-1-e" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sd-1-f" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sd-1-g" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sd-1-h" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sd-1-i" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sd-1-j" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-10-07" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.27" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.27" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.30" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-4.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sa-17" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-17" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:sa-17" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-17" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sa-17" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:cm-8-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sa-17" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sa-17" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:cm-8-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sa-17" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.16.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:pw.4.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:rv.1.1" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a04-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_6.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_6.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.2.1" + } + ] + }, + { + "id": "TDA-05.1", + "title": "Physical Diagnostic & Test Interfaces", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to secure physical diagnostic and test interfaces to prevent misuse." + }, + { + "name": "assessment-objective", + "id": "TDA-05.1_TDA-05.1_A01", + "prose": "physical diagnostic and test interfaces are secured to prevent misuse." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:edr-2.13" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:hdr-2.13" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:ndr-2.13" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_2.2.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_2.2.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_2.2.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_2.2.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_2.2.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_2.2.6" + }, + { + "rel": "part-of", + "href": "#TDA-05" + } + ] + }, + { + "id": "TDA-05.2", + "title": "Diagnostic & Test Interface Monitoring", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to enable endpoint devices to log events and generate alerts for attempts to access diagnostic and test interfaces." + }, + { + "name": "assessment-objective", + "id": "TDA-05.2_TDA-05.2_A01", + "prose": "endpoint devices are configured to log events and generate alerts for attempts to access diagnostic and test interfaces." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:edr-2.13-1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:hdr-2.13-1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:ndr-2.13-1" + }, + { + "rel": "part-of", + "href": "#TDA-05" + } + ] + }, + { + "id": "TDA-06", + "title": "Secure Software Development Practices (SSDP)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "TDA-06" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to develop applications based on Secure Software Development Practices (SSDP)." + }, + { + "name": "assessment-objective", + "id": "TDA-06_TDA-06_A01", + "prose": "software development techniques that promote effective cybersecurity / data privacy are identified." + }, + { + "name": "assessment-objective", + "id": "TDA-06_TDA-06_A02", + "prose": "testing, evaluation, assessment, verification and validation methods are defined." + }, + { + "name": "assessment-objective", + "id": "TDA-06_TDA-06_A03", + "prose": "cybersecurity / data privacy requirements to be satisfied by the process, standards, tools, tool options and tool configurations are defined." + }, + { + "name": "assessment-objective", + "id": "TDA-06_TDA-06_A04", + "prose": "identified software development techniques that promote effective cybersecurity / data privacy are employed." + }, + { + "name": "assessment-objective", + "id": "TDA-06_TDA-06_A05", + "prose": "quality control processes are defined." + }, + { + "name": "assessment-objective", + "id": "TDA-06_TDA-06_A06", + "prose": "frequency at which to review the development process, standards, tools, tool options and tool configurations is defined." + }, + { + "name": "assessment-objective", + "id": "TDA-06_TDA-06_A07", + "prose": "the developer of the system, system component or system service is required to follow a documented development process that explicitly addresses security requirements." + }, + { + "name": "assessment-objective", + "id": "TDA-06_TDA-06_A08", + "prose": "the developer of the system, system component or system service is required to follow a documented development process that explicitly addresses privacy requirements." + }, + { + "name": "assessment-objective", + "id": "TDA-06_TDA-06_A09", + "prose": "the developer of the system, system component or system service is required to follow a documented development process that identifies the standards used in the development process." + }, + { + "name": "assessment-objective", + "id": "TDA-06_TDA-06_A10", + "prose": "the developer of the system, system component or system service is required to follow a documented development process that identifies the tools used in the development process." + }, + { + "name": "assessment-objective", + "id": "TDA-06_TDA-06_A11", + "prose": "the developer of the system, system component or system service is required to follow a documented development process that documents the specific tool used in the development process." + }, + { + "name": "assessment-objective", + "id": "TDA-06_TDA-06_A12", + "prose": "the developer of the system, system component or system service is required to follow a documented development process that documents the specific tool configurations used in the development process." + }, + { + "name": "assessment-objective", + "id": "TDA-06_TDA-06_A13", + "prose": "the developer of the system, system component or system service is required to follow a documented development process that documents, manages and ensures the integrity of changes to the process and/or tools used in development." + }, + { + "name": "assessment-objective", + "id": "TDA-06_TDA-06_A14", + "prose": "the developer of the system, system component or system service is required to follow a documented development process in which the development process, standards, tools, tool options and tool configurations are reviewed frequently to determine that the process, standards, tools, tool options and tool configurations selected and employed satisfy security requirements." + }, + { + "name": "assessment-objective", + "id": "TDA-06_TDA-06_A15", + "prose": "the developer of the system, system component or system service is required to follow a documented development process in which the development process, standards, tools, tool options and tool configurations are reviewed frequently to determine that the process, standards, tools, tool options and tool configurations selected and employed satisfy privacy requirements." + }, + { + "name": "assessment-objective", + "id": "TDA-06_TDA-06_A16", + "prose": "the developer of the system, system component or system service is required to demonstrate the use of a system development life cycle process that includes organization-defined system security engineering methods." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_16.0" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_16.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_16.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_16.11" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_16.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_16.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_16.11" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_16.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_16.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_16.11" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo03.02" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:ais-04" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:ais-06" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:sdv-05" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:org-2.3" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sd-4" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sd-4-a" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sd-4-b" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sd-4-c" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sd-4-d" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sd-4-e" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sd-4-f" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sd-4-g" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:si-2" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:si-2-a" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:si-2-b" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:si-2-c" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:si-2-d" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:si-2-e" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:si-2-f" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-10-06" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.25" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.26" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.27" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.28" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_14.2.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_14.2.5" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.25" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.26" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.27" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.28" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.30" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.6.1.3" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.6.2.3" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:ct.dp-p1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sa-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sa-15" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-04-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-15" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sa-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sa-04-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:sa-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:sa-15" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-04-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-15" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:sa-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sa-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sa-15" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sa-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sa-15" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sa-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sa-15" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:sa-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:sa-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sa-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sa-15" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sa-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sa-15" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:nfo-sa-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.16.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.13.2-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.13.2-e" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:po.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:pw.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:pw.1.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:pw.4.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:pw.5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:pw.5.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:pw.6.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:pw.6.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:rv.3.4" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ps-06" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a01-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a02-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a03-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a04-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a05-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a06-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a07-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a08-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a09-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a10-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_6.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_6.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_6.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_6.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.2.4" + } + ] + }, + { + "id": "TDA-06.1", + "title": "Criticality Analysis During Development", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "TDA-06.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to require the developer of the Technology Asset, Application and/or Service (TAAS) to perform a criticality analysis at organization-defined decision points in the Secure Development Life Cycle (SDLC)." + }, + { + "name": "assessment-objective", + "id": "TDA-06.1_TDA-06.1_A01", + "prose": "decision points in the system development life cycle are defined." + }, + { + "name": "assessment-objective", + "id": "TDA-06.1_TDA-06.1_A02", + "prose": "the breadth of criticality analysis is defined." + }, + { + "name": "assessment-objective", + "id": "TDA-06.1_TDA-06.1_A03", + "prose": "the depth of criticality analysis is defined." + }, + { + "name": "assessment-objective", + "id": "TDA-06.1_TDA-06.1_A04", + "prose": "the developer of the system, system component, or system service is required to perform a criticality analysis at organization-defined decision points in the system development life cycle." + }, + { + "name": "assessment-objective", + "id": "TDA-06.1_TDA-06.1_A05", + "prose": "the developer of the system, system component, or system service is required to perform a criticality analysis per an organization-defined breadth." + }, + { + "name": "assessment-objective", + "id": "TDA-06.1_TDA-06.1_A06", + "prose": "the developer of the system, system component, or system service is required to perform a criticality analysis per an organization-defined depth." + }, + { + "name": "assessment-objective", + "id": "TDA-06.1_TDA-06.1_A07", + "prose": "suppliers of critical or mission-essential technologies, products and services are identified." + }, + { + "name": "assessment-objective", + "id": "TDA-06.1_TDA-06.1_A08", + "prose": "suppliers of critical or mission-essential technologies, products and services are prioritized." + }, + { + "name": "assessment-objective", + "id": "TDA-06.1_TDA-06.1_A09", + "prose": "suppliers of critical or mission-essential technologies, products and services are assessed." + }, + { + "name": "overview", + "class": "errata", + "prose": "- renamed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai09.02" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.29" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.29" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:id.be-p3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pm-30-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ra-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-15-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pm-30-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ra-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:ra-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:sa-15-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pm-30-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ra-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-15-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pm-30-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pm-30-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sa-15-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pm-30-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sa-15-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:pm-30-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:ra-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ra-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sa-15-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:ra-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:ra-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ra-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sa-15-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ra-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sa-15-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:pw.1" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ps-06" + }, + { + "rel": "part-of", + "href": "#TDA-06" + } + ] + }, + { + "id": "TDA-06.2", + "title": "Threat Modeling", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "TDA-06.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to perform threat modelling and other secure design techniques, to ensure that threats to software and solutions are identified and accounted for." + }, + { + "name": "assessment-objective", + "id": "TDA-06.2_TDA-06.2_A01", + "prose": "threat modelling and other secure design techniques are used to ensure that threats to software and solutions are identified and accounted for." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_16.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_16.14" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_16.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_16.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_16.14" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:ais-06" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:sdv-06" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sm-13" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sr-2" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sr-2-a" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sr-2-b" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sr-2-c" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sr-2-d" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sr-2-e" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sr-2-f" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sr-2-g" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sr-2-h" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sr-2-i" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sr-2-j" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sr-2-k" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sr-2-l" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sr-2-m" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-15-03" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-15-04" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-15-05" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-15-06" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:pm-15-07" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-15-08" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-15-09" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-15-10" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rc-15-11" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rc-15-11-a" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rc-15-11-b" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rc-15-11-c" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rc-15-12" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rc-15-12-a" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rc-15-12-b" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rc-15-12-c" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rc-15-12-d" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rc-15-12-e" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rc-15-13" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rc-15-13-a" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rc-15-13-b" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rc-15-13-c" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rc-15-13-d" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rc-15-14" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-15-15" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-15-16" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-3.2-005" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-11-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-15-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sa-11-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-11-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-15-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sa-11-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sa-15-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sa-15-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sa-15-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sa-15-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sa-15-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:pw.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:pw.1.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:rv.2.2" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.oc-01" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ps-06" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a04-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a08-2025" + }, + { + "rel": "part-of", + "href": "#TDA-06" + } + ] + }, + { + "id": "TDA-06.3", + "title": "Software Assurance Maturity Model (SAMM)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "TDA-06.3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to utilize a Software Assurance Maturity Model (SAMM) to govern a secure development lifecycle for the development of Technology Assets, Applications and/or Services (TAAS)." + }, + { + "name": "assessment-objective", + "id": "TDA-06.3_TDA-06.3_A01", + "prose": "a Software Assurance Maturity Model (SAMM) governs a secure development lifecycle for the development of systems, applications and services." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_16.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_16.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_16.11" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_16.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_16.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_16.11" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_16.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_16.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_16.11" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:ais-06" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:sdv-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:pw.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:pw.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:pw.4.2" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ps-06" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a04-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a08-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_6.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_6.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.2.2" + }, + { + "rel": "part-of", + "href": "#TDA-06" + } + ] + }, + { + "id": "TDA-06.4", + "title": "Supporting Toolchain", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to improve the accuracy, consistency and comprehensiveness of secure practices throughout the asset's lifecycle." + }, + { + "name": "assessment-objective", + "id": "TDA-06.4_TDA-06.4_A01", + "prose": "a supporting toolchain helps ensure the accuracy, consistency and comprehensiveness of secure practices throughout the asset's lifecycle." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:po.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:po.3.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:po.3.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:pw.6.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:pw.6.2" + }, + { + "rel": "part-of", + "href": "#TDA-06" + } + ] + }, + { + "id": "TDA-06.5", + "title": "Software Design Review", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to have an independent review of the software design to validate:\r\n(1) Applicable security, compliance and resilience requirements are met; and\r\n(2) Identified risks are remediated." + }, + { + "name": "assessment-objective", + "id": "TDA-06.5_TDA-06.5_A01", + "prose": "an independent review of the software design confirms that all cybersecurity / data privacy requirements are met and that any identified risks are satisfactorily addressed." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_16.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_16.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_16.12" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_16.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_16.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_16.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_16.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_16.12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:po.4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:pw.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:pw.2.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:rv.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:rv.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.2.3" + }, + { + "rel": "part-of", + "href": "#TDA-06" + } + ] + }, + { + "id": "TDA-06.6", + "title": "Software Design Root Cause Analysis", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to assess software design processes that includes: \r\n(1) Conducting Root Cause Analysis (RCA) to identify the underlying causes of issues or failures;\r\n(2) Developing actions to address the root cause of the issue or failure; and\r\n(3) Implementing the actions and monitoring the implementation for effectiveness." + }, + { + "name": "assessment-objective", + "id": "TDA-06.6_TDA-06.6_A01", + "prose": "software design processes include conducting Root Cause Analysis (RCA) to identify the underlying causes of issues or failures." + }, + { + "name": "assessment-objective", + "id": "TDA-06.6_TDA-06.6_A02", + "prose": "software design processes include developing actions to address the root cause of the issue or failure." + }, + { + "name": "assessment-objective", + "id": "TDA-06.6_TDA-06.6_A03", + "prose": "software design processes include implementing the actions and monitor the implementation for effectiveness." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:dm-4" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:dm-4-a-1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:dm-4-a-1-1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:dm-4-a-1-2" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:dm-4-a-1-3" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:dm-4-a-1-4" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:dm-4-b-1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:dm-4-c" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:dm-4-d" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:dm-4-a-2" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:dm-4-b-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-02-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-02-07" + }, + { + "rel": "part-of", + "href": "#TDA-06" + } + ] + }, + { + "id": "TDA-07", + "title": "Secure Development Environments", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to maintain a segmented development network to ensure a secure development environment." + }, + { + "name": "assessment-objective", + "id": "TDA-07_TDA-07_A01", + "prose": "system pre-production environments are protected commensurate with risk throughout the system development life cycle for the system, system component or system service." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_16.8" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_16.8" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_16.8" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai07.04" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:ais-06" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sm-7" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.25" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.31" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_12.1.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_14.2.6" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.25" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.31" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-2.3-004" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-03-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sa-03-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-03-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:po.5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:po.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.5.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.4.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.4.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_11.4.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_11.4.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_11.4.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.5.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_11.4.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.5.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.4.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.4.6" + } + ] + }, + { + "id": "TDA-08", + "title": "Separation of Development, Testing and Operational Environments", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.33", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.34", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.35", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.36", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.37", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.38", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.39", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to manage separate development, testing and operational environments to reduce the risks of unauthorized access or changes to the operational environment and to ensure no impact to production Technology Assets, Applications and/or Services (TAAS)." + }, + { + "name": "assessment-objective", + "id": "TDA-08_TDA-08_A01", + "prose": "changes to the system are analyzed in a separate test environment before implementation in an operational environment." + }, + { + "name": "assessment-objective", + "id": "TDA-08_TDA-08_A02", + "prose": "changes to the system are analyzed for cybersecurity / data privacy impacts due to flaws." + }, + { + "name": "assessment-objective", + "id": "TDA-08_TDA-08_A03", + "prose": "changes to the system are analyzed for cybersecurity / data privacy impacts due to weaknesses." + }, + { + "name": "assessment-objective", + "id": "TDA-08_TDA-08_A04", + "prose": "changes to the system are analyzed for cybersecurity / data privacy impacts due to incompatibility." + }, + { + "name": "assessment-objective", + "id": "TDA-08_TDA-08_A05", + "prose": "changes to the system are analyzed for cybersecurity / data privacy impacts due to intentional malice." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_16.8" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_16.8" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_16.8" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai07.04" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:ais-06" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:i-s-05" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.25" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.31" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_12.1.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.25" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.31" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:pr.ds-p7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:cm-4-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:cm-04-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:cm-04-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:cm-04-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:cm-04-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:cm-04-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:cm-4-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:cm-4-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.4.5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:po.5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:po.5.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.5.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.5.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.5.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.5.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.5.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.5.6" + } + ] + }, + { + "id": "TDA-08.1", + "title": "Secure Migration Practices", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure secure migration practices purge Technology Assets, Applications and/or Services (TAAS) of test/development/staging data and accounts before it is migrated into a production environment." + }, + { + "name": "assessment-objective", + "id": "TDA-08.1_TDA-08.1_A01", + "prose": "secure migration practices purge systems, applications and services of test/development/staging data and accounts before it is migrated into a production environment." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai07.06" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:ais-04" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:i-s-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:po.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.5.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.5.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.5.6" + }, + { + "rel": "part-of", + "href": "#TDA-08" + } + ] + }, + { + "id": "TDA-09", + "title": "Security, Compliance & Resilience Testing Throughout Development", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "TDA-09" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to require system developers/integrators consult with security, compliance and/or resilience personnel to: \r\n(1) Create and implement a Security Testing and Evaluation (ST&E) plan, or similar capability;\r\n(2) Implement a verifiable flaw remediation process to correct weaknesses and deficiencies identified during the control testing and evaluation process; and\r\n(3) Document the results." + }, + { + "name": "assessment-objective", + "id": "TDA-09_TDA-09_A01", + "prose": "the developer of the system, system component or system service is required to demonstrate the use of a system development life cycle process that includes organization-defined system security engineering methods." + }, + { + "name": "assessment-objective", + "id": "TDA-09_TDA-09_A02", + "prose": "the developer of the system, system component or system service is required to perform attack surface reviews." + }, + { + "name": "assessment-objective", + "id": "TDA-09_TDA-09_A03", + "prose": "the breadth of testing and evaluation of required controls is defined." + }, + { + "name": "assessment-objective", + "id": "TDA-09_TDA-09_A04", + "prose": "the depth of testing and evaluation of required controls is defined." + }, + { + "name": "assessment-objective", + "id": "TDA-09_TDA-09_A05", + "prose": "frequency at which to conduct testing/evaluation is defined." + }, + { + "name": "assessment-objective", + "id": "TDA-09_TDA-09_A06", + "prose": "the developer of the system, system component or system service is required at all post-design stages of the system development life cycle to develop a plan for ongoing security assessments." + }, + { + "name": "assessment-objective", + "id": "TDA-09_TDA-09_A07", + "prose": "the developer of the system, system component or system service is required at all post-design stages of the system development life cycle to implement a plan for ongoing security assessments." + }, + { + "name": "assessment-objective", + "id": "TDA-09_TDA-09_A08", + "prose": "the developer of the system, system component or system service is required at all post-design stages of the system development life cycle to develop a plan for privacy assessments." + }, + { + "name": "assessment-objective", + "id": "TDA-09_TDA-09_A09", + "prose": "the developer of the system, system component or system service is required at all post-design stages of the system development life cycle to implement a plan for ongoing privacy assessments." + }, + { + "name": "assessment-objective", + "id": "TDA-09_TDA-09_A10", + "prose": "the developer of the system, system component or system service is required at all post-design stages of the system development life cycle to perform testing/evaluation frequency to conduct at depth and coverage." + }, + { + "name": "assessment-objective", + "id": "TDA-09_TDA-09_A11", + "prose": "the developer of the system, system component or system service is required at all post-design stages of the system development life cycle to produce evidence of the execution of the assessment plan." + }, + { + "name": "assessment-objective", + "id": "TDA-09_TDA-09_A12", + "prose": "the developer of the system, system component or system service is required at all post-design stages of the system development life cycle to produce the results of the testing and evaluation." + }, + { + "name": "assessment-objective", + "id": "TDA-09_TDA-09_A13", + "prose": "the developer of the system, system component or system service is required at all post-design stages of the system development life cycle to implement a verifiable flaw remediation process." + }, + { + "name": "assessment-objective", + "id": "TDA-09_TDA-09_A14", + "prose": "the developer of the system, system component or system service is required at all post-design stages of the system development life cycle to correct flaws identified during testing and evaluation." + }, + { + "name": "assessment-objective", + "id": "TDA-09_TDA-09_A15", + "prose": "the developer of the system, system component, or system service is required to verify that the scope of testing and evaluation provides complete coverage of the required controls per an organization-defined breadth." + }, + { + "name": "assessment-objective", + "id": "TDA-09_TDA-09_A16", + "prose": "the developer of the system, system component, or system service is required to verify that the scope of testing and evaluation provides complete coverage of the required controls per an organization-defined depth." + }, + { + "name": "overview", + "class": "errata", + "prose": "- renamed\r\n- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_16.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_16.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_16.12" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_16.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_16.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_16.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_16.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_16.12" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai03.06" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai03.07" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai03.08" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:ais-04" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:ais-05" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:sdv-07" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:set-06" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sm-9" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sm-10" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sm-10-a" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sm-10-b" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sd-3" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sd-3-a" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sd-3-b" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sd-3-c" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:si-1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:si-1-a" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:si-1-b" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:si-1-d" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:si-1-e" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:svv-1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:svv-1-a" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:svv-1-b" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:svv-1-c" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:svv-2" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:svv-2-a" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:svv-2-b" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:svv-3" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:svv-3-a" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:svv-3-b" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:svv-3-c" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:svv-3-d" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:svv-3-d-1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:svv-3-d-2" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:svv-3-d-3" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:svv-3-d-4" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:svv-3-e" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:svv-5" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:dm-1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:dm-1-a" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:dm-1-b" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:dm-1-c" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:dm-1-d" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:dm-3" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:dm-3-a" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:dm-3-a-1" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:dm-3-a-2" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:dm-3-a-3" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:dm-3-b" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:dm-3-c" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:dm-3-d" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:dm-3-e" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.25" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.29" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_14.2.7" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_14.2.8" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_14.2.9" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.25" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.29" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.30" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sa-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-11-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-11-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-11-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sa-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sa-11-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sa-11-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sa-11-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:sa-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-11-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-11-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-11-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sa-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sa-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sa-11-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sa-11-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sa-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:sa-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sa-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sa-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:nfo-sa-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.12.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.12.03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.14.01.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:po.4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:po.4.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:pw.5.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:pw.6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:pw.7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:pw.7.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:pw.8.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:pw.8.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:rv.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:rv.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:rv.2.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:rv.2.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:rv.3.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:rv.3.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:rv.3.3" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.ra-01" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.im-01" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.im-02" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ps-06" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a01-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a02-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a03-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a04-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a05-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a06-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a07-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a08-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a09-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a10-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.2.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.5.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_6.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_6.2.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_6.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.2.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.5.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.2.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.5.6" + } + ] + }, + { + "id": "TDA-09.1", + "title": "Continuous Monitoring Plan", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "TDA-09.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to require the developers of Technology Assets, Applications and/or Services (TAAS) to produce a plan for the continuous monitoring of security, compliance and/or resilience control effectiveness." + }, + { + "name": "assessment-objective", + "id": "TDA-09.1_TDA-09.1_A01", + "prose": "the developer of the system, system component or system service is required to produce a plan for the continuous monitoring of control effectiveness that is consistent with the continuous monitoring program of the organization." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_16.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_16.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_16.2" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:sdv-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sa-4-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-04-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-04-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sa-4-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sa-4-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sa-4-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.12.03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:rv.1" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.im-01" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.im-02" + }, + { + "rel": "part-of", + "href": "#TDA-09" + } + ] + }, + { + "id": "TDA-09.2", + "title": "Static Code Analysis", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to require the developers of Technology Assets, Applications and/or Services (TAAS) to employ static code analysis tools to identify and remediate common flaws and document the results of the analysis." + }, + { + "name": "assessment-objective", + "id": "TDA-09.2_TDA-09.2_A01", + "prose": "the developer of the system, system component or system service is required to employ static code analysis tools to identify common flaws." + }, + { + "name": "assessment-objective", + "id": "TDA-09.2_TDA-09.2_A02", + "prose": "the developer of the system, system component or system service is required to employ static code analysis tools to document the results of the analysis." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_16.12" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_16.12" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:sdv-04" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:set-06" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:si-1-c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sa-11-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-11-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-11-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:po.4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:pw.7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:pw.7.2" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a01-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a02-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a03-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a04-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a05-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a06-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a07-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a08-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a09-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a10-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_6.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_6.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.2.4" + }, + { + "rel": "part-of", + "href": "#TDA-09" + } + ] + }, + { + "id": "TDA-09.3", + "title": "Dynamic Code Analysis", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to require the developers of Technology Assets, Applications and/or Services (TAAS) to employ dynamic code analysis tools to identify and remediate common flaws and document the results of the analysis." + }, + { + "name": "assessment-objective", + "id": "TDA-09.3_TDA-09.3_A01", + "prose": "the developer of the system, system component or system service is required to employ dynamic code analysis tools to identify common flaws." + }, + { + "name": "assessment-objective", + "id": "TDA-09.3_TDA-09.3_A02", + "prose": "the developer of the system, system component or system service is required to document the results of the analysis." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_16.12" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_16.12" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:ais-05" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:sdv-04" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:set-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sa-11-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-11-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-11-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:po.4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:pw.7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:pw.7.2" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a01-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a02-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a03-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a04-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a05-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a06-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a07-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a08-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a09-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a10-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_6.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_6.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.2.4" + }, + { + "rel": "part-of", + "href": "#TDA-09" + } + ] + }, + { + "id": "TDA-09.4", + "title": "Malformed Input Testing", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to utilize testing methods to ensure Technology Assets, Applications and/or Services (TAAS) continue to operate as intended when subject to invalid or unexpected inputs on its interfaces." + }, + { + "name": "assessment-objective", + "id": "TDA-09.4_TDA-09.4_A01", + "prose": "the developer of the system, system component, or system service is required to perform testing to ensure it continues to operate as intended when subject to invalid or unexpected inputs on its interfaces." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-2.6-006" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:pw.7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:pw.8" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a03-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_6.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_6.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.2.4" + }, + { + "rel": "part-of", + "href": "#TDA-09" + } + ] + }, + { + "id": "TDA-09.5", + "title": "Application Penetration Testing", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "TDA-09.5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to perform application-level penetration testing of custom-made Technology Assets, Applications and/or Services (TAAS)." + }, + { + "name": "assessment-objective", + "id": "TDA-09.5_TDA-09.5_A01", + "prose": "the developer of the system, system component, or system service is required to perform penetration testing per an organization-defined breadth." + }, + { + "name": "assessment-objective", + "id": "TDA-09.5_TDA-09.5_A02", + "prose": "the developer of the system, system component, or system service is required to perform penetration testing per an organization-defined depth." + }, + { + "name": "assessment-objective", + "id": "TDA-09.5_TDA-09.5_A03", + "prose": "the developer of the system, system component, or system service is required to perform penetration testing under organization-defined constraints." + }, + { + "name": "assessment-objective", + "id": "TDA-09.5_TDA-09.5_A04", + "prose": "the developer of the system, system component or system service is required to perform attack surface reviews." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_16.13" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_16.13" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:ais-05" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:sdv-07" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:set-02" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:set-06" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:svv-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-11-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sa-11-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-11-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sa-11-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:pw.7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:pw.8" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a01-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a02-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a03-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a04-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a05-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a06-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a07-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a08-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a09-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a10-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_6.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_6.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.2.4" + }, + { + "rel": "part-of", + "href": "#TDA-09" + } + ] + }, + { + "id": "TDA-09.6", + "title": "Secure Settings By Default", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to implement secure configuration settings by default to reduce the likelihood of Technology Assets, Applications and/or Services (TAAS) being deployed with weak security settings that would put the TAAS at a greater risk of compromise." + }, + { + "name": "assessment-objective", + "id": "TDA-09.6_TDA-09.6_A01", + "prose": "default secure configuration settings reduce the likelihood of software being deployed with weak security settings that would put the asset at a greater risk of compromise." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_16.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_16.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_16.1" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dsp-07" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dsp-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:pw.1.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:pw.5.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:pw.6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:pw.9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:pw.9.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:pw.9.2" + }, + { + "rel": "part-of", + "href": "#TDA-09" + } + ] + }, + { + "id": "TDA-09.7", + "title": "Manual Code Review", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to require the developers of Technology Assets, Applications and/or Services (TAAS) to employ a manual code review process to identify and remediate unique flaws that require knowledge of the application’s requirements and design." + }, + { + "name": "assessment-objective", + "id": "TDA-09.7_TDA-09.7_A01", + "prose": "specific code requiring manual code review is defined." + }, + { + "name": "assessment-objective", + "id": "TDA-09.7_TDA-09.7_A02", + "prose": "processes, procedures, and/or techniques used for manual code reviews are defined." + }, + { + "name": "assessment-objective", + "id": "TDA-09.7_TDA-09.7_A03", + "prose": "the developer of the system, system component, or system service is required to perform a manual code review of organization-defined specific code using organization-defined processes, procedures, and/or techniques." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sa-11-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-11-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-11-04" + }, + { + "rel": "part-of", + "href": "#TDA-09" + } + ] + }, + { + "id": "TDA-10", + "title": "Use of Live Data", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to approve, document and control the use of live data in development and test environments." + }, + { + "name": "assessment-objective", + "id": "TDA-10_TDA-10_A01", + "prose": "the use of live data in pre-production environments is approved for the system, system component or system service." + }, + { + "name": "assessment-objective", + "id": "TDA-10_TDA-10_A02", + "prose": "the use of live data in pre-production environments is documented for the system, system component or system service." + }, + { + "name": "assessment-objective", + "id": "TDA-10_TDA-10_A03", + "prose": "the use of live data in pre-production environments is controlled for the system, system component or system service." + }, + { + "name": "assessment-objective", + "id": "TDA-10_TDA-10_A04", + "prose": "pre-production environments for the system, system component or system service are protected at the same impact or classification level as any live data in use within the pre-production environments." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:dsp-15" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.33" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_14.3.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.33" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sa-15-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-03-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-03-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sa-03-02" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.5.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.5.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.5.5" + } + ] + }, + { + "id": "TDA-10.1", + "title": "Test Data Integrity", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure the integrity of test data through existing security, compliance and resilience controls." + }, + { + "name": "assessment-objective", + "id": "TDA-10.1_TDA-10.1_A01", + "prose": "the integrity of test data is ensured through existing cybersecurity / data privacy controls." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#TDA-10" + } + ] + }, + { + "id": "TDA-11", + "title": "Product Tampering and Counterfeiting (PTC)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "TDA-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to maintain awareness of component authenticity by developing and implementing Product Tampering and Counterfeiting (PTC) practices that include the means to detect and prevent counterfeit components." + }, + { + "name": "assessment-objective", + "id": "TDA-11_TDA-11_A01", + "prose": "controls to validate that the system or system component received is genuine are defined." + }, + { + "name": "assessment-objective", + "id": "TDA-11_TDA-11_A02", + "prose": "controls to validate that the system or system component received has not been altered are defined." + }, + { + "name": "assessment-objective", + "id": "TDA-11_TDA-11_A03", + "prose": "controls are employed to validate that the system or system component received is genuine." + }, + { + "name": "assessment-objective", + "id": "TDA-11_TDA-11_A04", + "prose": "controls are employed to validate that the system or system component received has not been altered." + }, + { + "name": "assessment-objective", + "id": "TDA-11_TDA-11_A05", + "prose": "controls employed to ensure that the integrity of the system and system component are defined." + }, + { + "name": "assessment-objective", + "id": "TDA-11_TDA-11_A06", + "prose": "an analysis method to be conducted to validate the internal composition and provenance of critical or mission-essential technologies, products and services to ensure the integrity of the system and system component is defined." + }, + { + "name": "assessment-objective", + "id": "TDA-11_TDA-11_A07", + "prose": "controls are employed to ensure the integrity of the system and system components." + }, + { + "name": "assessment-objective", + "id": "TDA-11_TDA-11_A08", + "prose": "analysis method is conducted to ensure the integrity of the system and system components." + }, + { + "name": "assessment-objective", + "id": "TDA-11_TDA-11_A09", + "prose": "systems or system components that require inspection are defined." + }, + { + "name": "assessment-objective", + "id": "TDA-11_TDA-11_A10", + "prose": "frequency at which to inspect systems or system components is defined." + }, + { + "name": "assessment-objective", + "id": "TDA-11_TDA-11_A11", + "prose": "indications of the need for an inspection of systems or system components are defined." + }, + { + "name": "assessment-objective", + "id": "TDA-11_TDA-11_A12", + "prose": "systems or system components are inspected to detect tampering." + }, + { + "name": "assessment-objective", + "id": "TDA-11_TDA-11_A13", + "prose": "external reporting organizations to whom counterfeit system components are to be reported is/are defined." + }, + { + "name": "assessment-objective", + "id": "TDA-11_TDA-11_A14", + "prose": "personnel or roles to whom counterfeit system components are to be reported is/are defined." + }, + { + "name": "assessment-objective", + "id": "TDA-11_TDA-11_A15", + "prose": "anti-counterfeit procedures are developed and implemented." + }, + { + "name": "assessment-objective", + "id": "TDA-11_TDA-11_A16", + "prose": "the anti-counterfeit procedures include the means to detect counterfeit components entering the system." + }, + { + "name": "assessment-objective", + "id": "TDA-11_TDA-11_A17", + "prose": "the anti-counterfeit procedures include the means to prevent counterfeit components from entering the system." + }, + { + "name": "assessment-objective", + "id": "TDA-11_TDA-11_A18", + "prose": "counterfeit system components are reported per organization-defined criteria." + }, + { + "name": "assessment-objective", + "id": "TDA-11_TDA-11_A19", + "prose": "the frequency at which to scan for counterfeit system components is defined." + }, + { + "name": "assessment-objective", + "id": "TDA-11_TDA-11_A20", + "prose": "scanning for counterfeit system components is conducted per an organization-defined frequency." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_16.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_16.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_16.5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sa-12-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sa-19" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sr-04-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sr-04-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sr-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sr-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sr-11-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sr-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:sr-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:sr-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sr-04-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sr-04-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sr-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sr-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sr-11-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:sr-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:sr-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sr-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sr-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sr-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sr-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sr-04-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sr-04-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sr-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sr-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sr-11-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sr-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sr-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sr-11-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:sr-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:sr-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:sr-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:sr-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sr-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sr-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sr-11-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sr-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sr-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sr-11-3" + } + ] + }, + { + "id": "TDA-11.1", + "title": "Anti-Counterfeit Training", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "TDA-11.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to train personnel to detect counterfeit system components, including hardware, software and firmware." + }, + { + "name": "assessment-objective", + "id": "TDA-11.1_TDA-11.1_A01", + "prose": "personnel or roles requiring training to detect counterfeit system components (including hardware, software and firmware) is/are defined." + }, + { + "name": "assessment-objective", + "id": "TDA-11.1_TDA-11.1_A02", + "prose": "personnel or roles are trained to detect counterfeit system components (including hardware, software and firmware)." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sa-19-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sr-11-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:sr-11-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sr-11-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:sr-11-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sr-11-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sr-11-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sr-11-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:sr-11-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sr-11-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sr-11-1" + }, + { + "rel": "part-of", + "href": "#TDA-11" + } + ] + }, + { + "id": "TDA-11.2", + "title": "Component Disposal", + "parts": [ + { + "name": "statement", + "prose": "[deprecated - incorporated into AST-09]\r\nMechanisms exist to dispose of system components using organization-defined techniques and methods to prevent such components from entering the gray market." + }, + { + "name": "assessment-objective", + "id": "TDA-11.2_TDA-11.2_A01", + "prose": "N/A [deprecated – incorporated into AST-09]" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sr-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:sr-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sr-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sr-12" + }, + { + "rel": "part-of", + "href": "#TDA-11" + } + ] + }, + { + "id": "TDA-12", + "title": "Customized Development of Critical Components", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to custom-develop critical system components, when Commercial Off The Shelf (COTS) solutions are unavailable." + }, + { + "name": "assessment-objective", + "id": "TDA-12_TDA-12_A01", + "prose": "suppliers of critical or mission-essential technologies, products and services are identified." + }, + { + "name": "assessment-objective", + "id": "TDA-12_TDA-12_A02", + "prose": "suppliers of critical or mission-essential technologies, products and services are prioritized." + }, + { + "name": "assessment-objective", + "id": "TDA-12_TDA-12_A03", + "prose": "suppliers of critical or mission-essential technologies, products and services are assessed." + }, + { + "name": "assessment-objective", + "id": "TDA-12_TDA-12_A04", + "prose": "critical system components to be reimplemented or custom-developed are defined." + }, + { + "name": "assessment-objective", + "id": "TDA-12_TDA-12_A05", + "prose": "critical systems are reimplemented or custom-developed." + }, + { + "name": "assessment-objective", + "id": "TDA-12_TDA-12_A06", + "prose": "systems or system components supporting mission-essential services or functions are defined." + }, + { + "name": "assessment-objective", + "id": "TDA-12_TDA-12_A07", + "prose": "organization-defined criteria are employed on systems or system components supporting essential services or functions to increase the trustworthiness in those systems or components." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_16.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_16.11" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_16.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_16.11" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_16.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_16.11" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:sdv-03" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:sdv-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sa-20" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pm-30-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-20" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pm-30-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sa-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pm-30-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-20" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pm-30-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pm-30-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pm-30-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:pm-30-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sa-20" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sa-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sa-20" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sa-20" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sa-20" + } + ] + }, + { + "id": "TDA-13", + "title": "Developer Screening", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure that the developers of Technology Assets, Applications and/or Services (TAAS) have the requisite skillset and appropriate access authorizations." + }, + { + "name": "assessment-objective", + "id": "TDA-13_TDA-13_A01", + "prose": "the system, systems component or system service that the developer has access to is/are defined." + }, + { + "name": "assessment-objective", + "id": "TDA-13_TDA-13_A02", + "prose": "official duties assigned to the developer are defined." + }, + { + "name": "assessment-objective", + "id": "TDA-13_TDA-13_A03", + "prose": "additional personnel screening criteria for the developer are defined." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sa-21" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-21" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:sa-21" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-21" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sa-21" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sa-21" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sa-21-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:sa-21" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sa-21" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sa-21-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sa-21" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sa-21-1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_6.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_6.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.2.2" + } + ] + }, + { + "id": "TDA-14", + "title": "Developer Configuration Management", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "TDA-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to require system developers and integrators to perform configuration management during system design, development, implementation and operation." + }, + { + "name": "assessment-objective", + "id": "TDA-14_TDA-14_A01", + "prose": "the developer of system, systems component or system service is required to have appropriate access authorizations as determined by assigned official duties." + }, + { + "name": "assessment-objective", + "id": "TDA-14_TDA-14_A02", + "prose": "configuration items under configuration management are defined." + }, + { + "name": "assessment-objective", + "id": "TDA-14_TDA-14_A03", + "prose": "personnel to whom security flaws and flaw resolutions within the system, component or service are reported is/are defined." + }, + { + "name": "assessment-objective", + "id": "TDA-14_TDA-14_A04", + "prose": "the developer of the system, system component or system service is required to perform configuration management during system, component or service per organization-defined criteria." + }, + { + "name": "assessment-objective", + "id": "TDA-14_TDA-14_A05", + "prose": "the developer of the system, system component or system service is required to document the integrity of changes to configuration items." + }, + { + "name": "assessment-objective", + "id": "TDA-14_TDA-14_A06", + "prose": "the developer of the system, system component or system service is required to manage the integrity of changes to configuration items." + }, + { + "name": "assessment-objective", + "id": "TDA-14_TDA-14_A07", + "prose": "the developer of the system, system component or system service is required to control the integrity of changes to configuration items." + }, + { + "name": "assessment-objective", + "id": "TDA-14_TDA-14_A08", + "prose": "the developer of the system, system component or system service is required to implement only organization-approved changes to the system, component or service." + }, + { + "name": "assessment-objective", + "id": "TDA-14_TDA-14_A09", + "prose": "the developer of the system, system component or system service is required to document approved changes to the system, component or service." + }, + { + "name": "assessment-objective", + "id": "TDA-14_TDA-14_A10", + "prose": "the developer of the system, system component or system service is required to document the potential security impacts of approved changes." + }, + { + "name": "assessment-objective", + "id": "TDA-14_TDA-14_A11", + "prose": "the developer of the system, system component or system service is required to document the potential privacy impacts of approved changes." + }, + { + "name": "assessment-objective", + "id": "TDA-14_TDA-14_A12", + "prose": "the developer of the system, system component or system service is required to track security flaws within the system, component or service." + }, + { + "name": "assessment-objective", + "id": "TDA-14_TDA-14_A13", + "prose": "the developer of the system, system component or system service is required to track security flaw resolutions within the system, component or service." + }, + { + "name": "assessment-objective", + "id": "TDA-14_TDA-14_A14", + "prose": "the developer of the system, system component or system service is required to report findings to personnel." + }, + { + "name": "assessment-objective", + "id": "TDA-14_TDA-14_A15", + "prose": "an alternate configuration management process has been provided using organizational personnel in the absence of a dedicated developer configuration management team." + }, + { + "name": "assessment-objective", + "id": "TDA-14_TDA-14_A16", + "prose": "the frequency with which to reassess individual positions and access to sensitive / regulated data is defined." + }, + { + "name": "assessment-objective", + "id": "TDA-14_TDA-14_A17", + "prose": "individuals that require enhanced personnel screening are identified." + }, + { + "name": "assessment-objective", + "id": "TDA-14_TDA-14_A18", + "prose": "positions that require access to sensitive / regulated data are identified." + }, + { + "name": "assessment-objective", + "id": "TDA-14_TDA-14_A19", + "prose": "organization-defined enhanced personnel screening is conducted for individuals." + }, + { + "name": "assessment-objective", + "id": "TDA-14_TDA-14_A20", + "prose": "individual positions and access to sensitive / regulated data is reassessed per an organization-defined frequency." + }, + { + "name": "assessment-objective", + "id": "TDA-14_TDA-14_A21", + "prose": "individuals with access to sensitive / regulated data are identified." + }, + { + "name": "assessment-objective", + "id": "TDA-14_TDA-14_A22", + "prose": "adverse information about individuals with access to sensitive / regulated data is defined." + }, + { + "name": "assessment-objective", + "id": "TDA-14_TDA-14_A23", + "prose": "organizational systems to which individuals have access are identified." + }, + { + "name": "assessment-objective", + "id": "TDA-14_TDA-14_A24", + "prose": "mechanisms are in place to protect organizational systems if adverse information develops or is obtained about individuals with access to sensitive / regulated data." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_16.11" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_16.11" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_16.11" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.32" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_12.1.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_14.2.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.30" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.32" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sa-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:sa-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sa-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sa-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sa-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sa-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sa-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:nfo-sa-10" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.ra-09" + } + ] + }, + { + "id": "TDA-14.1", + "title": "Software / Firmware Integrity Verification", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "TDA-14.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to require developers of Technology Assets, Applications and/or Services (TAAS) to enable integrity verification of software and firmware components." + }, + { + "name": "assessment-objective", + "id": "TDA-14.1_TDA-14.1_A01", + "prose": "the developer of the system, system component or system service is required to enable integrity verification of software and firmware components." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_16.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_16.11" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_16.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_16.11" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_16.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_16.11" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:ccm-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sa-10-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-10-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-10-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.14.7e" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.ra-09" + }, + { + "rel": "part-of", + "href": "#TDA-14" + } + ] + }, + { + "id": "TDA-14.2", + "title": "Hardware Integrity Verification", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "TDA-14.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to require developers of Technology Assets, Applications and/or Services (TAAS) to enable integrity verification of hardware components." + }, + { + "name": "assessment-objective", + "id": "TDA-14.2_TDA-14.2_A01", + "prose": "the developer of the system, system component or system service is required to enable integrity verification of hardware components." + }, + { + "name": "assessment-objective", + "id": "TDA-14.2_TDA-14.2_A02", + "prose": "the integrity of hardware components is verified." + }, + { + "name": "assessment-objective", + "id": "TDA-14.2_TDA-14.2_A03", + "prose": "independence criteria to be satisfied by an independent agent are defined." + }, + { + "name": "assessment-objective", + "id": "TDA-14.2_TDA-14.2_A04", + "prose": "an independent agent is required to satisfy organization-defined independence criteria to verify the correct implementation of the developer security assessment plan and the evidence produced during testing and evaluation." + }, + { + "name": "assessment-objective", + "id": "TDA-14.2_TDA-14.2_A05", + "prose": "an independent agent is required to satisfy organization-defined independence criteria to verify the correct implementation of the developer privacy assessment plan and the evidence produced during testing and evaluation." + }, + { + "name": "assessment-objective", + "id": "TDA-14.2_TDA-14.2_A06", + "prose": "the independent agent is provided with sufficient information to complete the verification process or granted the authority to obtain such information." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sa-10-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-10-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-10-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.14.7e" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.ra-09" + }, + { + "rel": "part-of", + "href": "#TDA-14" + } + ] + }, + { + "id": "TDA-15", + "title": "Developer Threat Analysis & Flaw Remediation", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to require system developers and integrators to develop and implement an ongoing Security Testing and Evaluation (ST&E) plan, or similar process, to objectively identify and remediate vulnerabilities prior to release to production." + }, + { + "name": "assessment-objective", + "id": "TDA-15_TDA-15_A01", + "prose": "information concerning impact, environment of operations, known or assumed threats and acceptable risk levels to be used as contextual information for threat modeling and vulnerability analyses is defined." + }, + { + "name": "assessment-objective", + "id": "TDA-15_TDA-15_A02", + "prose": "the tools and methods to be employed for threat modeling and vulnerability analyses are defined." + }, + { + "name": "assessment-objective", + "id": "TDA-15_TDA-15_A03", + "prose": "the breadth and depth of threat modeling to be conducted is defined." + }, + { + "name": "assessment-objective", + "id": "TDA-15_TDA-15_A04", + "prose": "the breadth and depth of vulnerability analyses to be conducted is defined." + }, + { + "name": "assessment-objective", + "id": "TDA-15_TDA-15_A05", + "prose": "acceptance criteria to be met by produced evidence for threat modeling are defined." + }, + { + "name": "assessment-objective", + "id": "TDA-15_TDA-15_A06", + "prose": "acceptance criteria to be met by produced evidence for vulnerability analyses are defined." + }, + { + "name": "assessment-objective", + "id": "TDA-15_TDA-15_A07", + "prose": "the developer of the system, system component, or system service is required to perform threat modeling during development of the system, component, or service that uses organization-defined information." + }, + { + "name": "assessment-objective", + "id": "TDA-15_TDA-15_A08", + "prose": "the developer of the system, system component, or system service is required to perform vulnerability analyses during development of the system, component, or service that uses organization-defined information." + }, + { + "name": "assessment-objective", + "id": "TDA-15_TDA-15_A09", + "prose": "the developer of the system, system component, or system service is required to perform threat modeling during the subsequent testing and evaluation of the system, component, or service that uses organization-defined information." + }, + { + "name": "assessment-objective", + "id": "TDA-15_TDA-15_A10", + "prose": "the developer of the system, system component, or system service is required to perform vulnerability analyses during the subsequent testing and evaluation of the system, component, or service that uses organization-defined information." + }, + { + "name": "assessment-objective", + "id": "TDA-15_TDA-15_A11", + "prose": "the developer of the system, system component, or system service is required to perform threat modeling during development of the system, component, or service that employs organization-defined tools and methods." + }, + { + "name": "assessment-objective", + "id": "TDA-15_TDA-15_A12", + "prose": "the developer of the system, system component, or system service is required to perform threat modeling during the subsequent testing and evaluation of the system, component, or service that employs organization-defined tools and methods." + }, + { + "name": "assessment-objective", + "id": "TDA-15_TDA-15_A13", + "prose": "the developer of the system, system component, or system service is required to perform vulnerability analyses during development of the system, component, or service that employs organization-defined tools and methods." + }, + { + "name": "assessment-objective", + "id": "TDA-15_TDA-15_A14", + "prose": "the developer of the system, system component, or system service is required to perform vulnerability analyses during the subsequent testing and evaluation of the system, component, or service that employs organization-defined tools and methods." + }, + { + "name": "assessment-objective", + "id": "TDA-15_TDA-15_A15", + "prose": "the developer of the system, system component, or system service is required to perform threat modeling per an organization-defined breadth and depth during development of the system, component or service." + }, + { + "name": "assessment-objective", + "id": "TDA-15_TDA-15_A16", + "prose": "the developer of the system, system component, or system service is required to perform vulnerability analyses during the subsequent testing and evaluation of the system, component, or service that conducts modeling and analyses per an organization-defined breadth and depth." + }, + { + "name": "assessment-objective", + "id": "TDA-15_TDA-15_A17", + "prose": "the developer of the system, system component, or system service is required to perform threat modeling during development of the system, component, or service that produces evidence that meets organization-defined acceptance criteria." + }, + { + "name": "assessment-objective", + "id": "TDA-15_TDA-15_A18", + "prose": "the developer of the system, system component, or system service is required to perform threat modeling during the subsequent testing and evaluation of the system, component, or service that produces evidence that meets organization-defined acceptance criteria." + }, + { + "name": "assessment-objective", + "id": "TDA-15_TDA-15_A19", + "prose": "the developer of the system, system component, or system service is required to perform vulnerability analyses during development of the system, component, or service that produces evidence that meets organization-defined acceptance criteria." + }, + { + "name": "assessment-objective", + "id": "TDA-15_TDA-15_A20", + "prose": "the developer of the system, system component, or system service is required to perform vulnerability analyses during the subsequent testing and evaluation of the system, component, or service that produces evidence that meets organization-defined acceptance criteria." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_16.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_16.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_16.2" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss06.04" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_17" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:ais-07" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:set-06" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:dm-2" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:dm-2-a" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:dm-2-b" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:dm-2-c" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_10.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_10.2-a" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_10.2-a-1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_10.2-a-2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_10.2-b" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_10.2-b-1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_10.2-b-2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_10.2-b-3" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_10.2-c" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_10.2-d" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_10.2-e" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sa-11-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-11-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sa-11-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-11-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sa-11-02" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.2.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.4.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.4.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:a1.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_6.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_6.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_6.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_6.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_6.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_11.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_11.4.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_6.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_6.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_6.2.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_6.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.2.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_11.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_11.4.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.2.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.2.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.4.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.4.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:a1.2.3" + } + ] + }, + { + "id": "TDA-16", + "title": "Developer-Provided Training", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to require the developers of Technology Assets, Applications and/or Services (TAAS) to provide training on the correct use and operation of the Technology Asset, Application and/or Service (TAAS)." + }, + { + "name": "assessment-objective", + "id": "TDA-16_TDA-16_A01", + "prose": "training on the correct use and operation of the implemented cybersecurity / data privacy functions, controls, and/or mechanisms provided by the developer of the system, system component or system service is defined." + }, + { + "name": "assessment-objective", + "id": "TDA-16_TDA-16_A02", + "prose": "the developer of the system, system component, or system service is required to provide training on the correct use and operation of the implemented cybersecurity / data privacy functions , controls, and/or mechanisms." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_16.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_16.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_16.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sa-16" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-16" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:sa-16" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-16" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sa-16" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sa-16" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sa-16" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sa-16" + } + ] + }, + { + "id": "TDA-17", + "title": "Unsupported Technology Assets, Applications and/or Services (TAAS)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "TDA-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to prevent unsupported Technology Assets, Applications and/or Services (TAAS) by:\r\n(1) Removing and/or replacing TAAS when support for the components is no longer available from the developer, vendor or manufacturer; and\r\n(2) Requiring justification and documented approval for the continued use of unsupported TAAS required to satisfy mission/business needs." + }, + { + "name": "assessment-objective", + "id": "TDA-17_TDA-17_A01", + "prose": "support from external providers is defined." + }, + { + "name": "assessment-objective", + "id": "TDA-17_TDA-17_A02", + "prose": "system components are replaced when support for the components is no longer available from the developer, vendor, or manufacturer." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_2.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_2.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_2.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_2.2" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:govern-1.7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sa-22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sa-22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:sa-22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:sa-22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sa-22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sa-22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sa-22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:sa-22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sa-22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sa-22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.16.02.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.16.02.a" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ps-02" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ps-03" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a06-2025" + } + ] + }, + { + "id": "TDA-17.1", + "title": "Alternate Sources for Continued Support", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "TDA-17.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to provide in-house support or contract external providers for support with unsupported Technology Assets, Applications and/or Services (TAAS)." + }, + { + "name": "assessment-objective", + "id": "TDA-17.1_TDA-17.1_A01", + "prose": "options for risk mitigation or alternative sources for continued support for unsupported components that cannot be replaced are provided." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sa-22-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sa-22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:sa-22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:sa-22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sa-22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sa-22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sa-22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:sa-22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sa-22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sa-22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.16.02.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.16.02.b" + }, + { + "rel": "part-of", + "href": "#TDA-17" + } + ] + }, + { + "id": "TDA-18", + "title": "Input Data Validation", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "TDA-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to check the validity of information inputs." + }, + { + "name": "assessment-objective", + "id": "TDA-18_TDA-18_A01", + "prose": "information inputs to the system requiring validity checks are defined." + }, + { + "name": "assessment-objective", + "id": "TDA-18_TDA-18_A02", + "prose": "the validity of the organization-defined information inputs is checked." + }, + { + "name": "assessment-objective", + "id": "TDA-18_TDA-18_A03", + "prose": "approved authorizations for logical access to information and system resources are enforced in accordance with applicable access control policies." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-3.5" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-3.5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:si-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ac-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ac-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ac-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ac-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:si-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:si-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:si-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:si-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:si-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ac-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ac-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:si-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:si-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:si-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:ac-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:si-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:si-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ac-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ac-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ac-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:si-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:si-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:si-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ac-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ac-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ac-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:si-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:si-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:si-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:si-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:si-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ac-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ac-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ac-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:si-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:si-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:si-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:si-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:si-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:si-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ac-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ac-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ac-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:si-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:si-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:si-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:si-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:ac-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:ac-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:si-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:si-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:si-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:si-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:ac-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:ac-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:ac-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:si-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:si-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:si-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:si-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:si-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:si-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ac-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ac-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ac-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:si-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:si-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:si-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:si-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ac-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ac-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ac-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:si-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:si-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:si-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:si-7" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a08-2025" + } + ] + }, + { + "id": "TDA-19", + "title": "Error Handling", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to handle error conditions by: \r\n(1) Identifying potentially security-relevant error conditions;\r\n(2) Generating error messages that provide information necessary for corrective actions without revealing sensitive or potentially harmful information in error logs and administrative messages that could be exploited; and\r\n(3) Revealing error messages only to authorized personnel." + }, + { + "name": "assessment-objective", + "id": "TDA-19_TDA-19_A01", + "prose": "personnel or roles to whom error messages are to be revealed is/are defined." + }, + { + "name": "assessment-objective", + "id": "TDA-19_TDA-19_A02", + "prose": "error messages that provide the information necessary for corrective actions are generated without revealing information that could be exploited." + }, + { + "name": "assessment-objective", + "id": "TDA-19_TDA-19_A03", + "prose": "error messages are revealed only to organization-defined personnel or roles." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-3-3-2013:sr-3.7" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-2-2019:cr-3.7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:si-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:si-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:si-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:si-11" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a08-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a10-2025" + } + ] + }, + { + "id": "TDA-20", + "title": "Access to Program Source Code", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to limit privileges to change software resident within software libraries." + }, + { + "name": "assessment-objective", + "id": "TDA-20_TDA-20_A01", + "prose": "organization-defined criteria for security-relevant information pertaining to external system interfaces, high-level design, low-level design, source code or hardware schematics and design and implementation information are documented in a System Security Plan (SSP)." + }, + { + "name": "assessment-objective", + "id": "TDA-20_TDA-20_A04", + "prose": "the developer of the system, system component or system service is required to provide design and implementation information for the controls that includes using at level of detail." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_9.4.5" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_14.2.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.30" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-04-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sa-04-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:sa-04-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-04-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sa-04-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sa-04-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:ps.1.1" + } + ] + }, + { + "id": "TDA-20.1", + "title": "Software Release Integrity Verification", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to publish integrity verification information for software releases." + }, + { + "name": "assessment-objective", + "id": "TDA-20.1_TDA-20.1_A01", + "prose": "integrity verification information is published for software releases." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:ps.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:ps.2.1" + }, + { + "rel": "part-of", + "href": "#TDA-20" + } + ] + }, + { + "id": "TDA-20.2", + "title": "Archiving Software Releases", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to archive software releases and all of their components (e.g., code, package files, third-party libraries, documentation) to maintain integrity verification information." + }, + { + "name": "assessment-objective", + "id": "TDA-20.2_TDA-20.2_A01", + "prose": "software releases and all of their components (e.g., code, package files, third-party libraries, documentation) are securely archived to maintain integrity verification information." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:ps.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:ps.3.1" + }, + { + "rel": "part-of", + "href": "#TDA-20" + } + ] + }, + { + "id": "TDA-20.3", + "title": "Software Escrow", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to escrow source code and supporting documentation to ensure software availability in the event the software provider goes out of business or is unable to provide support." + }, + { + "name": "assessment-objective", + "id": "TDA-20.3_TDA-20.3_A01", + "prose": "source code and supporting documentation are escrowed to ensure software availability in the event the software provider goes out of business or is unable to provide support." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:ps.3.1" + }, + { + "rel": "part-of", + "href": "#TDA-20" + } + ] + }, + { + "id": "TDA-20.4", + "title": "Approved Code", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to govern the approval of binaries and code for production use." + }, + { + "name": "assessment-objective", + "id": "TDA-20.4_TDA-20.4_A01", + "prose": "approval of binaries and code for production use is governed through organizational change control processes." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-4-1-2018:sm-8" + }, + { + "rel": "part-of", + "href": "#TDA-20" + } + ] + }, + { + "id": "TDA-21", + "title": "Product Conformity Governance", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure developed Technology Assets, Applications and/or Services (TAAS) conform to applicable statutory and regulatory requirements, based on the product's and/or service's:\r\n(1) Use case(s); and\r\n(2) Geographic markets." + }, + { + "name": "assessment-objective", + "id": "TDA-21_TDA-21_A01", + "prose": "developed products and/or services conform to applicable statutory and regulatory requirements, based on the product's and/or service's use case(s)." + }, + { + "name": "assessment-objective", + "id": "TDA-21_TDA-21_A02", + "prose": "developed products and/or services conform to applicable statutory and regulatory requirements, based on the product's and/or service's geographic markets." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-3.2-003" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-1.1-008" + } + ] + }, + { + "id": "TDA-22", + "title": "Technical Documentation Artifacts", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to generate appropriate technical documentation artifacts for Technology Assets, Applications and/or Services (TAAS) in sufficient detail to demonstrate conformity with applicable statutory, regulatory and contractual compliance requirements." + }, + { + "name": "assessment-objective", + "id": "TDA-22_TDA-22_A01", + "prose": "appropriate technical documentation artifacts are generated for products and/or services in sufficient detail to demonstrate conformity with applicable statutory, regulatory and contractual compliance requirements." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mp-4.1-003" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mp-4.1-010" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-2.9-001" + } + ] + }, + { + "id": "TDA-22.1", + "title": "Product-Specific Risk Assessment Artifacts", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to include a detailed cybersecurity risk assessment in the technical documentation for Technology Assets, Applications and/or Services (TAAS) to demonstrate applicable risks in approved use cases." + }, + { + "name": "assessment-objective", + "id": "TDA-22.1_TDA-22.1_A01", + "prose": "a detailed cybersecurity risk assessment is included in the technical documentation for products and/or services to demonstrate applicable risks in approved use cases." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#TDA-22" + } + ] + } + ] + }, + { + "id": "third-party-management", + "title": "Third-Party Management", + "controls": [ + { + "id": "TPM-01", + "title": "Third-Party Management", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "TPM-01" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management", + "value": "3.5.3.8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.33", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.34", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.35", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.36", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.37", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.38", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.39", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to facilitate the implementation of third-party management controls." + }, + { + "name": "assessment-objective", + "id": "TPM-01_TPM-01_A01", + "prose": "security requirements to protect against supply chain risks to the system, system components, or system services and to limit the harm or consequences from supply chain-related events are defined." + }, + { + "name": "assessment-objective", + "id": "TPM-01_TPM-01_A02", + "prose": "cybersecurity / data privacy functional requirements, descriptions and criteria are included explicitly or by reference using in the acquisition contract for the system, system component or system service." + }, + { + "name": "assessment-objective", + "id": "TPM-01_TPM-01_A03", + "prose": "requirements for protecting cybersecurity / data privacy documentation, descriptions and criteria are included explicitly or by reference using in the acquisition contract for the system, system component or system service." + }, + { + "name": "assessment-objective", + "id": "TPM-01_TPM-01_A04", + "prose": "strength of mechanism requirements, descriptions and criteria are included explicitly or by reference using in the acquisition contract for the system, system component or system service." + }, + { + "name": "assessment-objective", + "id": "TPM-01_TPM-01_A05", + "prose": "cybersecurity / data privacy assurance requirements, descriptions and criteria are included explicitly or by reference using in the acquisition contract for the system, system component or system service." + }, + { + "name": "assessment-objective", + "id": "TPM-01_TPM-01_A06", + "prose": "controls needed to satisfy the cybersecurity / data privacy requirements, descriptions and criteria are included explicitly or by reference using in the acquisition contract for the system, system component or system service." + }, + { + "name": "assessment-objective", + "id": "TPM-01_TPM-01_A07", + "prose": "cybersecurity / data privacy documentation requirements, descriptions and criteria are included explicitly or by reference using in the acquisition contract for the system, system component or system service." + }, + { + "name": "assessment-objective", + "id": "TPM-01_TPM-01_A08", + "prose": "the description of the system development environment and environment in which the system is intended to operate, requirements and criteria are included explicitly or by reference using in the acquisition contract for the system, system component or system service." + }, + { + "name": "assessment-objective", + "id": "TPM-01_TPM-01_A09", + "prose": "the allocation of responsibility or identification of parties responsible for cybersecurity / data privacy requirements, descriptions and criteria are included explicitly or by reference using in the acquisition contract for the system, system component or system service." + }, + { + "name": "assessment-objective", + "id": "TPM-01_TPM-01_A10", + "prose": "the allocation of responsibility or identification of parties responsible for supply chain risk management requirements, descriptions and criteria are included explicitly or by reference using organization-defined criteria." + }, + { + "name": "assessment-objective", + "id": "TPM-01_TPM-01_A11", + "prose": "acceptance criteria requirements and descriptions are included explicitly or by reference using in the acquisition contract for the system, system component or system service." + }, + { + "name": "assessment-objective", + "id": "TPM-01_TPM-01_A12", + "prose": "contract language is defined." + }, + { + "name": "assessment-objective", + "id": "TPM-01_TPM-01_A13", + "prose": "third-party management operations are conducted according to documented policies, standards, procedures and/or other organizational directives." + }, + { + "name": "assessment-objective", + "id": "TPM-01_TPM-01_A14", + "prose": "adequate resources (e.g., people, processes, technologies, data and/or facilities) are provided to support third-party management operations." + }, + { + "name": "assessment-objective", + "id": "TPM-01_TPM-01_A15", + "prose": "responsibility and authority for the performance of third-party management-related activities are assigned to designated personnel." + }, + { + "name": "assessment-objective", + "id": "TPM-01_TPM-01_A16", + "prose": "personnel performing third-party management-related activities have the skills and knowledge needed to perform their assigned duties." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_15.0" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_15.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_15.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_15.2" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo10.01" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo10.02" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo10.03" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo10.04" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo10.05" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss01.02" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_8" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:iam-11" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:sef-02" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:sta-01" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:pol-01" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:pol-02" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:org-1.6" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.19" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_4.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_4.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_15.1.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.19" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.20" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.30" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_6.1.3-h" + }, + { + "rel": "mapped-to", + "href": "#iso-31000-2018:_5.5" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.10" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.10.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.10.3" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:manage-3.0" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-6.1-009" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-6.2-007" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:gv.po-p4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sa-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sr-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sa-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sr-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:sa-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:sr-01" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.308-b-1" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.312-d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sr-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:sa-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:sr-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sa-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sr-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sa-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sr-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sa-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sr-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:sa-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:sr-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:sa-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:sr-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sa-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sr-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sa-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sr-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.1.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:nfo-sa-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.20.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.20.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.20.c.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.07.06.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.16.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.16.03.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.17.03.odp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-04" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-06" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-07" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-08" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-10" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.am" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a02-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a03-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a05-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.8" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.8.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.9" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.9.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.9.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:a2.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_12.8.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_12.8.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_12.8.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_12.8.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_12.8.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_12.8.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.8.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.8.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.9.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.9.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:a2.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-p2pe:_12.8.1" + } + ] + }, + { + "id": "TPM-01.1", + "title": "Third-Party Inventories", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "TPM-01.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management", + "value": "3.5.3.8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to maintain a current, accurate and complete list of External Service Providers (ESPs) that can potentially impact the Confidentiality, Integrity, Availability and/or Safety (CIAS) of the organization's Technology Assets, Applications, Services and/or Data (TAASD)." + }, + { + "name": "assessment-objective", + "id": "TPM-01.1_TPM-01.1_A01", + "prose": "a current, accurate and complete list of Third-Party Service Providers (TSP) that can potentially impact the Sensitivity, Integrity, Availability and/or Safety (CIAS) of the organization's systems, applications, services and data is maintained." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_15.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_15.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_15.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_15.1" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:sta-08" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.19" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.19" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-6.1-007" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:id.im-p1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sr-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sr-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sr-13" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.07.06.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-1" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-04" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-07" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-08" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.am" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.am-01" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.am-02" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.am-04" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.ra-10" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.8" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.8.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_12.8.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_12.8.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_12.8.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_12.8.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_12.8.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_12.8.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.8.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.8.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-p2pe:_12.8.1" + }, + { + "rel": "part-of", + "href": "#TPM-01" + } + ] + }, + { + "id": "TPM-02", + "title": "Third-Party Criticality Assessments", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "TPM-02" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management", + "value": "3.5.3.8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.33", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.34", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.35", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.36", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.37", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.38", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.39", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to identify, prioritize and assess suppliers and partners of critical Technology Assets, Applications and/or Services (TAAS) using a supply chain risk assessment process relative to their importance in supporting the delivery of high-value services." + }, + { + "name": "assessment-objective", + "id": "TPM-02_TPM-02_A01", + "prose": "systems, system components or system services to be analyzed for criticality are defined." + }, + { + "name": "assessment-objective", + "id": "TPM-02_TPM-02_A02", + "prose": "decision points in the system development life cycle when a criticality analysis is to be performed are defined." + }, + { + "name": "assessment-objective", + "id": "TPM-02_TPM-02_A03", + "prose": "critical system components and functions are identified by performing a criticality analysis for systems, system components or system services at decision points in the system development life cycle." + }, + { + "name": "assessment-objective", + "id": "TPM-02_TPM-02_A04", + "prose": "suppliers of critical or mission-essential technologies, products and services are identified." + }, + { + "name": "assessment-objective", + "id": "TPM-02_TPM-02_A05", + "prose": "suppliers of critical or mission-essential technologies, products and services are prioritized." + }, + { + "name": "assessment-objective", + "id": "TPM-02_TPM-02_A06", + "prose": "suppliers of critical or mission-essential technologies, products and services are assessed." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_15.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_15.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_15.3" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo10.04" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.19" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.19" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:id.be-p3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sa-14" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pm-30-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ra-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-09-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pm-30-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ra-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:ra-09" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.308-a-7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pm-30-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ra-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-09-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pm-30-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pm-30-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ra-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pm-30-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ra-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:pm-30-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:ra-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ra-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sa-9-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:ra-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:ra-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:sa-9-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ra-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sa-9-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ra-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sa-9-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.11.01.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.17.03.a" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.oc-04" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.oc-05" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-04" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-06" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-07" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-08" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.am-05" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.ra-10" + } + ] + }, + { + "id": "TPM-03", + "title": "Supply Chain Risk Management (SCRM)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "TPM-03" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management", + "value": "3.5.3.8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.33", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.34", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.35", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.36", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.37", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.38", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.39", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to:\r\n(1) Evaluate security risks and threats associated with Technology Assets, Applications and/or Services (TAAS) supply chains; and\r\n(2) Take appropriate remediation actions to minimize the organization's exposure to those risks and threats, as necessary." + }, + { + "name": "assessment-objective", + "id": "TPM-03_TPM-03_A01", + "prose": "the personnel, roles and responsibilities of the supply chain risk management team are defined." + }, + { + "name": "assessment-objective", + "id": "TPM-03_TPM-03_A02", + "prose": "supply chain risk management activities are defined." + }, + { + "name": "assessment-objective", + "id": "TPM-03_TPM-03_A03", + "prose": "a supply chain risk management team consisting of personnel, roles and responsibilities is established to lead and support supply chain risk management activities." + }, + { + "name": "assessment-objective", + "id": "TPM-03_TPM-03_A04", + "prose": "the supply chain risk management plan addresses risks associated with the research and development of systems, system components or system services." + }, + { + "name": "assessment-objective", + "id": "TPM-03_TPM-03_A05", + "prose": "the supply chain risk management plan addresses risks associated with the design of systems, system components or system services." + }, + { + "name": "assessment-objective", + "id": "TPM-03_TPM-03_A06", + "prose": "the supply chain risk management plan addresses risks associated with the manufacturing of systems, system components or system services." + }, + { + "name": "assessment-objective", + "id": "TPM-03_TPM-03_A07", + "prose": "the supply chain risk management plan addresses risks associated with the acquisition of systems, system components or system services." + }, + { + "name": "assessment-objective", + "id": "TPM-03_TPM-03_A08", + "prose": "the supply chain risk management plan addresses risks associated with the delivery of systems, system components or system services." + }, + { + "name": "assessment-objective", + "id": "TPM-03_TPM-03_A09", + "prose": "the supply chain risk management plan addresses risks associated with the integration of systems, system components or system services." + }, + { + "name": "assessment-objective", + "id": "TPM-03_TPM-03_A10", + "prose": "the supply chain risk management plan addresses risks associated with the operation and maintenance of systems, system components or system services." + }, + { + "name": "assessment-objective", + "id": "TPM-03_TPM-03_A11", + "prose": "the supply chain risk management plan addresses risks associated with the disposal of systems, system components or system services." + }, + { + "name": "assessment-objective", + "id": "TPM-03_TPM-03_A12", + "prose": "systems, system components or system services for which a supply chain risk management plan is developed are defined." + }, + { + "name": "assessment-objective", + "id": "TPM-03_TPM-03_A13", + "prose": "the frequency at which to review / update the supply chain risk management plan is defined." + }, + { + "name": "assessment-objective", + "id": "TPM-03_TPM-03_A14", + "prose": "a plan for managing supply chain risks is developed." + }, + { + "name": "assessment-objective", + "id": "TPM-03_TPM-03_A15", + "prose": "the supply chain risk management plan is reviewed / updated frequently or as required to address threat, organizational or environmental changes." + }, + { + "name": "assessment-objective", + "id": "TPM-03_TPM-03_A16", + "prose": "the supply chain risk management plan is protected from unauthorized disclosure." + }, + { + "name": "assessment-objective", + "id": "TPM-03_TPM-03_A17", + "prose": "the supply chain risk management plan is protected from unauthorized modification." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo10.04" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:iam-11" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:pol-02" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:org-2.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.19" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.21" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.22" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_15.1.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.19" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.21" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.22" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.30" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.10" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.10.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.10.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sa-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-09-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sr-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sr-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sr-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:sr-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:sr-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-09-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sr-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sr-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:sr-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:sr-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sr-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sr-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sr-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sr-02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sa-9-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sr-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:sr-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:sa-9-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sa-9-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sa-9-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sr-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.11.01.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.17.01.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.17.03.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.17.03.b" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-06" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-07" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a02-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a03-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a05-2025" + } + ] + }, + { + "id": "TPM-03.1", + "title": "Acquisition Strategies, Tools & Methods", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "TPM-03.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.33", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.34", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.35", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.36", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.37", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.38", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.39", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to utilize tailored acquisition strategies, contract tools and procurement methods for the purchase of unique Technology Assets, Applications and/or Services (TAAS)." + }, + { + "name": "assessment-objective", + "id": "TPM-03.1_TPM-03.1_A01", + "prose": "acquisition strategies, contract tools and procurement methods to protect against, identify and mitigate supply chain risks are defined." + }, + { + "name": "assessment-objective", + "id": "TPM-03.1_TPM-03.1_A02", + "prose": "acquisition strategies, contract tools, and procurement method protect against, identify and mitigate supply chain risks are developed." + }, + { + "name": "assessment-objective", + "id": "TPM-03.1_TPM-03.1_A03", + "prose": "acquisition strategies, contract tools, and procurement methods are developed to identify supply chain risks." + }, + { + "name": "assessment-objective", + "id": "TPM-03.1_TPM-03.1_A04", + "prose": "acquisition strategies, contract tools, and procurement methods are developed to protect against supply chain risks." + }, + { + "name": "assessment-objective", + "id": "TPM-03.1_TPM-03.1_A05", + "prose": "acquisition strategies, contract tools, and procurement methods are developed to mitigate supply chain risks." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:bai03.04" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_8" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.21" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.22" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.21" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sa-12-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sr-03-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sr-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sr-03-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:sr-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sr-03-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sr-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:sr-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sr-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sr-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sr-03-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sr-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sr-3-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sr-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:sr-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:sr-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sr-3-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sr-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sr-3-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sr-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.17.01.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.17.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.17.03.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.17.03.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.17.02-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.17.02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.17.02-03" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a03-2025" + }, + { + "rel": "part-of", + "href": "#TPM-03" + } + ] + }, + { + "id": "TPM-03.2", + "title": "Limit Potential Harm", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "TPM-03.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.33", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.34", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.35", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.36", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.37", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.38", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.39", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to utilize security safeguards to limit harm from potential adversaries who identify and target the organization's supply chain." + }, + { + "name": "assessment-objective", + "id": "TPM-03.2_TPM-03.2_A01", + "prose": "controls to limit harm from potential supply chain adversaries are defined." + }, + { + "name": "assessment-objective", + "id": "TPM-03.2_TPM-03.2_A02", + "prose": "controls are employed to limit harm from potential adversaries identifying and targeting the organizational supply chain." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_15.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_15.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_15.4" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:rsm-03" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.19" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.19" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.20" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sa-12-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sr-03-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sr-03-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sr-03-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.17.03.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.17.03.b" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-06" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-07" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a03-2025" + }, + { + "rel": "part-of", + "href": "#TPM-03" + } + ] + }, + { + "id": "TPM-03.3", + "title": "Processes To Address Weaknesses or Deficiencies", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "TPM-03.3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.33", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.34", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.35", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.36", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.37", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.38", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.39", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to address identified weaknesses or deficiencies in the security of the supply chain" + }, + { + "name": "assessment-objective", + "id": "TPM-03.3_TPM-03.3_A01", + "prose": "the system or system component requiring a process or processes to identify and address weaknesses or deficiencies is defined." + }, + { + "name": "assessment-objective", + "id": "TPM-03.3_TPM-03.3_A02", + "prose": "supply chain personnel with whom to coordinate the process or processes to identify and address weaknesses or deficiencies in the supply chain elements and processes is/are defined." + }, + { + "name": "assessment-objective", + "id": "TPM-03.3_TPM-03.3_A03", + "prose": "supply chain controls employed to protect against supply chain risks to the system, system component or system service and to limit the harm or consequences from supply chain-related events are defined." + }, + { + "name": "assessment-objective", + "id": "TPM-03.3_TPM-03.3_A04", + "prose": "the document identifying the selected and implemented supply chain processes and controls is defined." + }, + { + "name": "assessment-objective", + "id": "TPM-03.3_TPM-03.3_A05", + "prose": "a process or processes is/are established to identify and address weaknesses or deficiencies in the supply chain elements and processes of system or system component." + }, + { + "name": "assessment-objective", + "id": "TPM-03.3_TPM-03.3_A06", + "prose": "the process or processes to identify and address weaknesses or deficiencies in the supply chain elements and processes of system or system component is/are coordinated with supply chain personnel." + }, + { + "name": "assessment-objective", + "id": "TPM-03.3_TPM-03.3_A07", + "prose": "supply chain controls are employed to protect against supply chain risks to the system, system component or system service and to limit the harm or consequences from supply chain-related events." + }, + { + "name": "assessment-objective", + "id": "TPM-03.3_TPM-03.3_A08", + "prose": "the selected and implemented supply chain processes and controls are documented in accordance with organization-defined criteria." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo10.04" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.19" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.22" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.19" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sa-12-15" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sr-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:sr-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sr-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:sr-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sr-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sr-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sr-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:sr-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:sr-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sr-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sr-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.17.03.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.17.03.b" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-06" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-07" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a03-2025" + }, + { + "rel": "part-of", + "href": "#TPM-03" + } + ] + }, + { + "id": "TPM-03.4", + "title": "Adequate Supply", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.33", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.34", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.35", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.36", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.37", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.38", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.39", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.40", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to develop and implement a spare parts strategy to ensure that an adequate supply of critical components is available to meet operational needs." + }, + { + "name": "assessment-objective", + "id": "TPM-03.4_TPM-03.4_A01", + "prose": "controls to ensure an adequate supply of critical system components are defined." + }, + { + "name": "assessment-objective", + "id": "TPM-03.4_TPM-03.4_A02", + "prose": "critical system components of which an adequate supply is required are defined." + }, + { + "name": "assessment-objective", + "id": "TPM-03.4_TPM-03.4_A03", + "prose": "controls are employed to ensure an adequate supply of critical system components." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sr-05-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sr-05-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sr-05-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sr-05-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sr-05-01" + }, + { + "rel": "part-of", + "href": "#TPM-03" + } + ] + }, + { + "id": "TPM-04", + "title": "Third-Party Services", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "TPM-04" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.33", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.34", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.35", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.36", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.37", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.38", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.39", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to mitigate the risks associated with third-party access to the organization's Technology Assets, Applications, Services and/or Data (TAASD)." + }, + { + "name": "assessment-objective", + "id": "TPM-04_TPM-04_A01", + "prose": "controls to be employed by external system service providers are defined." + }, + { + "name": "assessment-objective", + "id": "TPM-04_TPM-04_A02", + "prose": "processes, methods and techniques employed to monitor control compliance by external service providers are defined." + }, + { + "name": "assessment-objective", + "id": "TPM-04_TPM-04_A03", + "prose": "providers of external system services comply with organizational cybersecurity / data privacy requirements." + }, + { + "name": "assessment-objective", + "id": "TPM-04_TPM-04_A04", + "prose": "providers of external system services employ controls." + }, + { + "name": "assessment-objective", + "id": "TPM-04_TPM-04_A05", + "prose": "organizational oversight with regard to external system services are defined and documented." + }, + { + "name": "assessment-objective", + "id": "TPM-04_TPM-04_A06", + "prose": "user roles and responsibilities with regard to external system services are defined and documented." + }, + { + "name": "assessment-objective", + "id": "TPM-04_TPM-04_A07", + "prose": "processes, methods and techniques are employed to monitor control compliance by external service providers on an ongoing basis." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_15.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_15.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_15.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_15.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_15.5" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_8" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:iam-11" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:pol-01" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:pol-02" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.19" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_14.2.7" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_15.1.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.19" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.30" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.10" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.10.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.10.3" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-6.2-002" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sa-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sa-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:sa-09" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.308-b-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:sa-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sa-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sa-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sa-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:nfo-sa-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.16.03.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.16.03.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.17.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.17.03.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.17.03.b" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-06" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-07" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a02-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a03-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a05-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.8.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.9" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.9.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.9.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_12.8.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_12.8.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_12.8.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_12.8.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_12.8.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_12.8.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.8.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.8.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.9.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.9.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-p2pe:_12.8.2" + } + ] + }, + { + "id": "TPM-04.1", + "title": "Third-Party Risk Assessments & Approvals", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "TPM-04.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.33", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.34", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.35", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.36", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.37", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.38", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.39", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to conduct a risk assessment prior to the acquisition or outsourcing of technology-related Technology Assets, Applications and/or Services (TAAS)." + }, + { + "name": "assessment-objective", + "id": "TPM-04.1_TPM-04.1_A01", + "prose": "personnel or roles that approve the acquisition or outsourcing of dedicated cybersecurity services is/are defined." + }, + { + "name": "assessment-objective", + "id": "TPM-04.1_TPM-04.1_A02", + "prose": "an organizational assessment of risk is conducted prior to the acquisition or outsourcing of cybersecurity services." + }, + { + "name": "assessment-objective", + "id": "TPM-04.1_TPM-04.1_A03", + "prose": "personnel or roles approve the acquisition or outsourcing of dedicated cybersecurity services." + }, + { + "name": "assessment-objective", + "id": "TPM-04.1_TPM-04.1_A04", + "prose": "a process for identifying weaknesses or deficiencies in the supply chain elements and processes is established." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_15.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_15.5" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo10.04" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_9" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:sta-16" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-07-01" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.19" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.19" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:manage-3.1" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-6.1-005" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-6.1-006" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-6.1-009" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:id.de-p5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sa-9-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-09-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-09-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sa-9-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sa-9-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sa-9-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.11.01.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.17.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.17.03.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.17.03.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.17.03.a-01" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-06" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-07" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.ra-10" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.im-01" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.im-02" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a02-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a03-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a05-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.8.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_12.8.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_12.8.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_12.8.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_12.8.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_12.8.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_12.8.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.8.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.8.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-p2pe:_12.8.3" + }, + { + "rel": "part-of", + "href": "#TPM-04" + } + ] + }, + { + "id": "TPM-04.2", + "title": "External Connectivity Requirements - Identification of Ports, Protocols & Services", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to require External Service Providers (ESPs) to identify and document the business need for ports, protocols and other services it requires to operate its Technology Assets, Applications and/or Services (TAAS)." + }, + { + "name": "assessment-objective", + "id": "TPM-04.2_TPM-04.2_A01", + "prose": "external system services that require the identification of functions, ports, protocols and other services are defined." + }, + { + "name": "assessment-objective", + "id": "TPM-04.2_TPM-04.2_A02", + "prose": "providers of external system services are required to identify the functions, ports, protocols and other services required for the use of such services." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_12.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_12.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_12.6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sa-9-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-09-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:sa-09-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-09-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sa-09-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sa-09-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:nfo-sa-9-2" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a02-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a03-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a05-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_1.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.2.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.2.5" + }, + { + "rel": "part-of", + "href": "#TPM-04" + } + ] + }, + { + "id": "TPM-04.3", + "title": "Conflict of Interests", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "TPM-04.3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure that the interests of external service providers are consistent with and reflect organizational interests." + }, + { + "name": "assessment-objective", + "id": "TPM-04.3_TPM-04.3_A01", + "prose": "external service providers are defined." + }, + { + "name": "assessment-objective", + "id": "TPM-04.3_TPM-04.3_A02", + "prose": "actions to be taken to verify that the interests of external service providers are consistent with and reflect organizational interests are defined." + }, + { + "name": "assessment-objective", + "id": "TPM-04.3_TPM-04.3_A03", + "prose": "actions are taken to verify that the interests of external service providers are consistent with and reflect organizational interests." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_8" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.19" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.19" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sa-9-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-09-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-09-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-09-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-09-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sa-9-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sa-9-4" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-06" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a03-2025" + }, + { + "rel": "part-of", + "href": "#TPM-04" + } + ] + }, + { + "id": "TPM-04.4", + "title": "Third-Party Processing, Storage and Service Locations", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "TPM-04.4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.33", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.34", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.35", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.36", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.37", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.38", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.39", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to restrict the location of information processing/storage based on business requirements." + }, + { + "name": "assessment-objective", + "id": "TPM-04.4_TPM-04.4_A01", + "prose": "locations where information processing and data storage is/are to be restricted are defined." + }, + { + "name": "assessment-objective", + "id": "TPM-04.4_TPM-04.4_A02", + "prose": "requirements or conditions for restricting the location of information processing, information storage or information services are defined." + }, + { + "name": "assessment-objective", + "id": "TPM-04.4_TPM-04.4_A03", + "prose": "based on requirements, information processing, information storage or information services is/are restricted to locations." + }, + { + "name": "assessment-objective", + "id": "TPM-04.4_TPM-04.4_A04", + "prose": "the location or site of the facility where the system resides is planned considering physical and environmental hazards." + }, + { + "name": "assessment-objective", + "id": "TPM-04.4_TPM-04.4_A05", + "prose": "for existing facilities, physical and environmental hazards are considered in the organizational risk management strategy." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo10.03" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:pol-02" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.21" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.21" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sa-9-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pe-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-09-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pe-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sa-09-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pe-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-09-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pe-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sa-9-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:pe-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:pe-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:pe-23" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sa-9-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.16.03.a" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-06" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a02-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a03-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a05-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_3.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.5.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_3.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_3.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_3.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.5.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_3.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.5.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-p2pe:_3.2.1" + }, + { + "rel": "part-of", + "href": "#TPM-04" + } + ] + }, + { + "id": "TPM-05", + "title": "Third-Party Contract Requirements", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "TPM-05" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.33", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.34", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.35", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.36", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.37", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.38", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.39", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to require contractual requirements for applicable security, compliance and resilience requirements with third-parties, reflecting the organization's needs to protect its Technology Assets, Applications, Services and/or Data (TAASD)." + }, + { + "name": "assessment-objective", + "id": "TPM-05_TPM-05_A01", + "prose": "legally-binding contracts are executed to enforce cybersecurity / data privacy requirements by third-parties." + }, + { + "name": "assessment-objective", + "id": "TPM-05_TPM-05_A02", + "prose": "before sharing sensitive / regulated data, Non-Disclosure Agreements (NDAs) are executed with third parties." + }, + { + "name": "assessment-objective", + "id": "TPM-05_TPM-05_A03", + "prose": "security requirements to be satisfied by external system service providers are defined." + }, + { + "name": "assessment-objective", + "id": "TPM-05_TPM-05_A04", + "prose": "the providers of external system services used for the processing, storage, or transmission of sensitive / regulated data comply with organization-defined security requirements." + }, + { + "name": "assessment-objective", + "id": "TPM-05_TPM-05_A05", + "prose": "the providers of external system services used for the processing, storage, or transmission of CUI comply with the following security requirements: ." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_15.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_15.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_15.4" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo10.03" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:ipy-04" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:sta-04" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:sta-11" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:cls-04" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:imt-01" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:lgl-05" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:lgl-06" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:lgl-07" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:lgl-08" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:pol-01" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:pol-02" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-05-09" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-05-10" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-07-03-a" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-07-03-b" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-07-03-c" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-07-04" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-07-04-a" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-07-04-b" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-07-04-c" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-07-04-d" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-07-04-e" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-07-04-f" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-07-05" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-07-06" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-07-07" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.19" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.21" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.31" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_6.6" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.21" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_13.1.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_13.2.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_15.1.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.1-a" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.1-b" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.19" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.20" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.21" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.31" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_6.6" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.21" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.30" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_6.1.3-h" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.10.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.10.3" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-6.1-004" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-6.1-010" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-6.2-007" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:id.de-p3" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:gv.po-p4" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:gv.at-p4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sa-9-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sr-03-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sr-03-03" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.308-b-1" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.314-a" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.314-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sr-03-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sa-9-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sr-3-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:sr-3-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:sa-9-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sa-9-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sr-3-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sa-9-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sr-3-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.1.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:nfo-sa-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.20.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.20.c.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.20.c.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.07.06.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.16.03.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.16.03.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.16.03.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.17.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.17.03.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.16.03.odp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.16.03.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:po.1" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.oc-02" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.oc-03" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-02" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-05" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-06" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a03-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.4.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.8.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.8.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.9" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.9.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.9.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_12.8.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_12.8.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_12.8.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_12.8.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_12.8.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_12.8.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_12.8.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_12.8.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_12.8.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_12.8.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_12.8.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_12.8.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.8.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.8.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.4.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.8.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.8.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.9.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.9.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-p2pe:_12.8.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-p2pe:_12.8.5" + } + ] + }, + { + "id": "TPM-05.1", + "title": "Security Compromise Notification Agreements", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "TPM-05.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.33", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.34", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.35", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.36", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.37", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.38", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.39", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to compel External Service Providers (ESPs) to provide notification of actual or potential compromises in the supply chain that can potentially affect or have adversely affected Technology Assets, Applications and/or Services (TAAS) that the organization utilizes." + }, + { + "name": "assessment-objective", + "id": "TPM-05.1_TPM-05.1_A01", + "prose": "security requirements to be satisfied by external system service providers are defined." + }, + { + "name": "assessment-objective", + "id": "TPM-05.1_TPM-05.1_A02", + "prose": "agreements and procedures are established with entities involved in the supply chain for the system, system components or system service per organization-defined criteria." + }, + { + "name": "assessment-objective", + "id": "TPM-05.1_TPM-05.1_A03", + "prose": "External Service Providers (ESPs) are contractually obligated to provide notification of actual or potential compromises in the supply chain that can potentially affect or have adversely affected systems, applications and/or services that the organization utilizes." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:pol-01" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.21" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.21" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sr-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:sr-08" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.314-a" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.314-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sr-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:sr-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sr-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sr-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sr-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:sr-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sr-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sr-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.17.02" + }, + { + "rel": "part-of", + "href": "#TPM-05" + } + ] + }, + { + "id": "TPM-05.2", + "title": "Contract Flow-Down Requirements", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "TPM-05.2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure applicable security, compliance and resilience requirements are included in contracts that flow-down to applicable sub-contractors and suppliers." + }, + { + "name": "assessment-objective", + "id": "TPM-05.2_TPM-05.2_A01", + "prose": "the controls included in the contracts of prime contractors are also included in the contracts of subcontractors." + }, + { + "name": "assessment-objective", + "id": "TPM-05.2_TPM-05.2_A02", + "prose": "security requirements to be satisfied by external system service providers are defined." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:sta-11" + }, + { + "rel": "mapped-to", + "href": "#iso-27701-2025:_6.1.3-h" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sr-03-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sr-03-03" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.308-b-1" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.314-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sr-03-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sr-3-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:sr-3-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sr-3-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sr-3-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.1.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.16.03.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.16.03.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.16.03.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.17.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.17.03.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.16.03.odp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.oc-03" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-02" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-05" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-06" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-10" + }, + { + "rel": "part-of", + "href": "#TPM-05" + } + ] + }, + { + "id": "TPM-05.3", + "title": "Third-Party Authentication Practices", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "TPM-05.3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure External Service Providers (ESPs) use unique authentication factors for each of its customers." + }, + { + "name": "assessment-objective", + "id": "TPM-05.3_TPM-05.3_A01", + "prose": "Third-Party Service Providers (TSP) are obligated to use unique authentication factors for each of its customers." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-06" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-10" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.2.3" + }, + { + "rel": "part-of", + "href": "#TPM-05" + } + ] + }, + { + "id": "TPM-05.4", + "title": "Responsible, Accountable, Supportive, Consulted & Informed (RASCI) Matrix", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "TPM-05.4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to document and maintain a Responsible, Accountable, Supportive, Consulted & Informed (RASCI) matrix, or similar documentation, to delineate assignment for security, compliance and resilience controls between internal stakeholders and External Service Providers (ESPs)." + }, + { + "name": "assessment-objective", + "id": "TPM-05.4_TPM-05.4_A01", + "prose": "a Responsible, Accountable, Supportive, Consulted & Informed (RASCI) matrix, or similar documentation, delineates assignment for cybersecurity / data privacy controls between internal stakeholders and Third-Party Service Providers (TSP)." + }, + { + "name": "assessment-objective", + "id": "TPM-05.4_TPM-05.4_A02", + "prose": "user roles and responsibilities with regard to external system services, including shared responsibilities with external service providers, are defined and documented." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_15.0" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_12" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:grc-06" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:sta-02" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:sta-03" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:sta-04" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:sta-05" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:sta-06" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:sta-07" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-06-01" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-07-08" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_4.3-c" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.23" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_6.1.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.23" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_5.3" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.10" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.10.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.10.3" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:a.10.4" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:id.im-p2" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:gv.po-p3" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:gv.po-p4" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:gv.at-p4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-37-r2:task-p-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-09-03" + }, + { + "rel": "mapped-to", + "href": "#nist-sp-800-66-r2:_164.308-b-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-09-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sa-9-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:sa-9-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sa-9-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sa-9-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.07.06.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.16.03.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.16.03.b" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.oc" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.oc-02" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.rm-05" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.rr" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.rr-02" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-02" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-06" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.am" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.8.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.8.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.9" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.9.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.9.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_12.8.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_12.8.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_12.8.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_12.8.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_12.8.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_12.8.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_12.8.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_12.8.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_12.8.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_12.8.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_12.8.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_12.8.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.8.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.8.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.8.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.8.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.9.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.9.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-p2pe:_12.8.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-p2pe:_12.8.5" + }, + { + "rel": "part-of", + "href": "#TPM-05" + } + ] + }, + { + "id": "TPM-05.5", + "title": "Third-Party Scope Review", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "TPM-05.5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to perform recurring validation of the Responsible, Accountable, Supportive, Consulted & Informed (RASCI) matrix, or similar documentation, to ensure security, compliance and resilience control assignments accurately reflect current:\r\n(1) Contractual obligations for the External Service Provider (ESP);\r\n(2) Business practices;\r\n(3) Applicable stakeholders; and\r\n(4) Deployed Technology Assets, Applications and/or Services (TAAS)." + }, + { + "name": "assessment-objective", + "id": "TPM-05.5_TPM-05.5_A01", + "prose": "recurring validation of the Responsible, Accountable, Supportive, Consulted & Informed (RASCI) matrix, or similar documentation, is performed to ensure cybersecurity / data privacy control assignments accurately reflect current business practices, compliance obligations, technologies and stakeholders." + }, + { + "name": "assessment-objective", + "id": "TPM-05.5_TPM-05.5_A02", + "prose": "processes, methods, and techniques to monitor security requirement compliance by external service providers on an ongoing basis are implemented." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_15.0" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_4.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.16.03.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.17.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.17.03.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.17.03.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.16.03.c" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-06" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.5.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.5.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.8" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.8.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:a3.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:a3.2.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_12.8.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_12.8.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_12.8.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_12.8.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_12.8.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_12.8.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.8.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.5.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.5.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.8.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-p2pe:_12.8.1" + }, + { + "rel": "part-of", + "href": "#TPM-05" + } + ] + }, + { + "id": "TPM-05.6", + "title": "First-Party Declaration (1PD)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "TPM-05.6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to obtain a First-Party Declaration(1PD) from applicable External Service Providers (ESPs) that provides assurance of compliance with specified statutory, regulatory and contractual obligations for security, compliance and resilience controls, including any flow-down requirements to subcontractors." + }, + { + "name": "assessment-objective", + "id": "TPM-05.6_TPM-05.6_A01", + "prose": "a First-Party Declaration (1PD) is obtained from applicable Third-Party Service Providers (TSP) that provides assurance of compliance with specified statutory, regulatory and contractual obligations for cybersecurity / data privacy controls, including any flow-down requirements to subcontractors." + }, + { + "name": "assessment-objective", + "id": "TPM-05.6_TPM-05.6_A02", + "prose": "processes, methods, and techniques to monitor security requirement compliance by external service providers on an ongoing basis are implemented." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rc-07-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.20.c.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.16.03.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.16.03.c" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-06" + }, + { + "rel": "part-of", + "href": "#TPM-05" + } + ] + }, + { + "id": "TPM-05.7", + "title": "Break Clauses", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "TPM-05.7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to include \"break clauses\" within contracts for failure to meet contract criteria for security, compliance and/or resilience controls." + }, + { + "name": "assessment-objective", + "id": "TPM-05.7_TPM-05.7_A01", + "prose": "contracts with third-parties include \"break clauses\" to enable the organization to exit a contract due to a third-party's non-compliance with contract requirements for cybersecurity / data privacy controls." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-09-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-09-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sa-9-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:sa-9-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sa-9-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sa-9-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.17.01.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.17.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.17.03.b" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-06" + }, + { + "rel": "part-of", + "href": "#TPM-05" + } + ] + }, + { + "id": "TPM-05.8", + "title": "Third-Party Attestation (3PA)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "TPM-05.8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to obtain an attestation from an independent Third-Party Assessment Organization (3PAO) that provides assurance of conformity with specified statutory, regulatory and contractual obligations for security, compliance and resilience controls, including any flow-down requirements to contractors and subcontractors." + }, + { + "name": "assessment-objective", + "id": "TPM-05.8_TPM-05.8_A01", + "prose": "statutory, regulatory and/or contractual obligations requiring a conformity assessment by an independent Third-Party Assessment Organization (3PAO) are identified." + }, + { + "name": "assessment-objective", + "id": "TPM-05.8_TPM-05.8_A02", + "prose": "a current and passing conformity assessment by an independent Third-Party Assessment Organization (3PAO) exists for each applicable statutory, regulatory and/or contractual obligation requiring a 3PAO's attestation." + }, + { + "name": "assessment-objective", + "id": "TPM-05.8_TPM-05.8_A03", + "prose": "processes, methods, and techniques to monitor security requirement compliance by external service providers on an ongoing basis are implemented." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rc-07-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.20.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.20.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.20.c.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.16.03.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.16.03.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.16.03.c" + }, + { + "rel": "part-of", + "href": "#TPM-05" + } + ] + }, + { + "id": "TPM-06", + "title": "Third-Party Personnel Security", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "TPM-06" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.33", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.34", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.35", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.36", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.37", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.38", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.39", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to control personnel security requirements including security roles and responsibilities for third-party providers." + }, + { + "name": "assessment-objective", + "id": "TPM-06_TPM-06_A01", + "prose": "roles and responsibilities for third-party provider personnel are documented." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo10.03" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:pol-02" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.19" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_6.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_6.1.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.19" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.30" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:gv.po-p3" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:gv.po-p4" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:gv.at-p4" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-06" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.am" + } + ] + }, + { + "id": "TPM-07", + "title": "Monitoring for Third-Party Information Disclosure", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to monitor for evidence of unauthorized exfiltration or disclosure of organizational information." + }, + { + "name": "assessment-objective", + "id": "TPM-07_TPM-07_A01", + "prose": "sensitive / regulated data flows identify information shared with third-parties." + }, + { + "name": "assessment-objective", + "id": "TPM-07_TPM-07_A02", + "prose": "mechanisms are used to look for unauthorized exfiltration or disclosure of sensitive / regulated data that is shared with third-parties." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + } + ] + }, + { + "id": "TPM-08", + "title": "Review of Third-Party Services", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "TPM-08" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to monitor, regularly review and assess External Service Providers (ESPs) for compliance with established contractual requirements for security, compliance and resilience controls." + }, + { + "name": "assessment-objective", + "id": "TPM-08_TPM-08_A01", + "prose": "the frequency at which to assess and review the supply chain-related risks associated with suppliers or contractors and the systems, system components or system services they provide is defined." + }, + { + "name": "assessment-objective", + "id": "TPM-08_TPM-08_A02", + "prose": "the supply chain-related risks associated with suppliers or contractors and the systems, system components or system services they provide are assessed and reviewed per an organization-defined frequency." + }, + { + "name": "assessment-objective", + "id": "TPM-08_TPM-08_A03", + "prose": "supply chain elements, processes and actors to be analyzed and tested are defined." + }, + { + "name": "assessment-objective", + "id": "TPM-08_TPM-08_A04", + "prose": "organization-defined mechanisms are employed on supply chain elements, processes and actors associated with the system, system component or system service." + }, + { + "name": "assessment-objective", + "id": "TPM-08_TPM-08_A05", + "prose": "processes, methods, and techniques to monitor security requirement compliance by external service providers on an ongoing basis are implemented." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_15.0" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_15.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_15.6" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo09.03" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo09.04" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo09.05" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo10.05" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_9" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:sta-10" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:sta-12" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:sta-13" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:sta-14" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:sta-15" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:pol-02" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.19" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.22" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.21" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_13.1.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_15.2.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.19" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.20" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.22" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.21" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:manage-3.0" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-100-1-ai-rmf-1.0:manage-3.1" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:id.de-p5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sa-12-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sr-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sr-06-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:sr-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sr-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sr-06-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sr-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sr-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sr-06-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sr-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sr-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sr-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.16.03.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.17.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.16.03.c" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-07" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.im-01" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.im-02" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a02-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a05-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.4.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_12.8.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_12.8.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_12.8.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b:_12.8.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_12.8.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_12.8.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_12.8.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_12.8.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.4.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_12.8.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-p2pe:_12.8.4" + } + ] + }, + { + "id": "TPM-09", + "title": "Third-Party Deficiency Remediation", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "TPM-09" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.33", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.34", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.35", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.36", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.37", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.38", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.39", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to address weaknesses or deficiencies in supply chain elements identified during independent or organizational assessments of such elements." + }, + { + "name": "assessment-objective", + "id": "TPM-09_TPM-09_A01", + "prose": "weaknesses or deficiencies in supply chain elements identified during independent or organizational assessments of such elements are remediated." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo10.04" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_17" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:pol-01" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.19" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.19" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.17.02" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-06" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-07" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-08" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a02-2025" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a05-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:a3.3.1.2" + } + ] + }, + { + "id": "TPM-10", + "title": "Managing Changes To Third-Party Services", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "TPM-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.33", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.34", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.35", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.36", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.37", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.38", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.39", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to control changes to services by suppliers, taking into account the criticality of business Technology Assets, Applications, Services and/or Data (TAASD) that are in scope by the third-party." + }, + { + "name": "assessment-objective", + "id": "TPM-10_TPM-10_A01", + "prose": "affected third-parties are identified through change control practices." + }, + { + "name": "assessment-objective", + "id": "TPM-10_TPM-10_A02", + "prose": "provided services are assessed for impact from proposed changes." + }, + { + "name": "assessment-objective", + "id": "TPM-10_TPM-10_A03", + "prose": "recurring reviews are performed of third-party provided services against existing contract requirements." + }, + { + "name": "assessment-objective", + "id": "TPM-10_TPM-10_A04", + "prose": "discrepancies in services provided and/or geolocation of provided services are evaluated for impact to the organization's operations." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_15.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_15.7" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:apo10.04" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_9" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:sta-10" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.22" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_15.2.2" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.20" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sa-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sa-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:sa-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:sa-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:sa-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:sa-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:sa-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:sa-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:sa-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:sa-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:sa-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.16.01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.17.02" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-08" + } + ] + }, + { + "id": "TPM-11", + "title": "Third-Party Incident Response & Recovery Capabilities", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "TPM-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.33", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.34", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.35", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.36", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.37", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.38", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.39", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure response/recovery planning and testing are conducted with critical suppliers/providers." + }, + { + "name": "assessment-objective", + "id": "TPM-11_TPM-11_A01", + "prose": "incident handling activities involving supply chain events are coordinated with other organizations involved in the supply chain." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:imt-01" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:opa-05" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:pol-01" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.19" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.19" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:gv-6.2-003" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ir-04-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ir-04-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ir-04-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:ir-04-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ir-4-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:ir-4-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ir-4-10" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:gv.sc-08" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.7.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.7.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_10.7.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.7.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_10.7.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.7.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.7.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_10.7.3" + } + ] + }, + { + "id": "TPM-12", + "title": "Foreign Ownership, Control or Influence (FOCI)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to minimize risk associated with Foreign Ownership, Control or Influence (FOCI) through Supply Chain Risk Management (SCRM) practices." + }, + { + "name": "assessment-objective", + "id": "TPM-12_TPM-12_A01", + "prose": "a process to minimize risk associate with Foreign Ownership, Control or Influence (FOCI) through Supply Chain Risk Management (SCRM) practices is defined." + }, + { + "name": "assessment-objective", + "id": "TPM-12_TPM-12_A02", + "prose": "Supply Chain Risk Management (SCRM) practices exist to minimize risk associate with FOCI." + }, + { + "name": "overview", + "class": "errata", + "prose": "- new control (SCF)" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + } + ] + }, + { + "id": "TPM-12.1", + "title": "Ownership Change Monitoring", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to periodically review External Service Providers (ESP) for changes that affect Foreign Ownership, Control or Influence (FOCI)." + }, + { + "name": "assessment-objective", + "id": "TPM-12.1_TPM-12.1_A01", + "prose": "External Service Providers (ESP) are periodically reviewed for changes that affect Foreign Ownership, Control or Influence (FOCI)." + }, + { + "name": "overview", + "class": "errata", + "prose": "- new control (SCF)" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "part-of", + "href": "#TPM-12" + } + ] + }, + { + "id": "TPM-12.2", + "title": "Ownership Change Provisions", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to contractually impose safeguards (e.g., additional controls, access modification, contract termination, etc.) from Foreign Ownership, Control or Influence (FOCI) concerns to ensure that:\r\n(1) Unauthorized access to sensitive and/or regulated data is prevented; and \r\n(2) Performance of contracts is not adversely affected." + }, + { + "name": "assessment-objective", + "id": "TPM-12.2_TPM-12.2_A01", + "prose": "contracts with third-parties contractually impose safeguards (e.g., additional controls, access modification, contract termination, etc.) from Foreign Ownership, Control or Influence (FOCI) concerns to ensure that unauthorized access to sensitive and/or regulated data is prevented." + }, + { + "name": "assessment-objective", + "id": "TPM-12.2_TPM-12.2_A02", + "prose": "contracts with third-parties contractually impose safeguards (e.g., additional controls, access modification, contract termination, etc.) from FOCI concerns to ensure that performance of contracts is not adversely affected." + }, + { + "name": "overview", + "class": "errata", + "prose": "- new control (SCF)" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#TPM-12" + } + ] + } + ] + }, + { + "id": "threat-management", + "title": "Threat Management", + "controls": [ + { + "id": "THR-01", + "title": "Threat Intelligence Program", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "THR-01" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management", + "value": "3.5.4.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.33", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.34", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.35", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.36", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.37", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.38", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.39", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to implement a threat intelligence program that includes a cross-organization information-sharing capability that can influence the development of the system and security architectures, selection of security solutions, monitoring, threat hunting, response and recovery activities." + }, + { + "name": "assessment-objective", + "id": "THR-01_THR-01_A01", + "prose": "a threat awareness program that includes a cross-organization information-sharing capability for threat intelligence is implemented." + }, + { + "name": "assessment-objective", + "id": "THR-01_THR-01_A02", + "prose": "sources of threat intelligence are defined." + }, + { + "name": "assessment-objective", + "id": "THR-01_THR-01_A03", + "prose": "a risk assessment methodology is identified." + }, + { + "name": "assessment-objective", + "id": "THR-01_THR-01_A04", + "prose": "sources of threat intelligence are employed as part of a risk assessment to guide and inform the development of organizational systems and security architectures." + }, + { + "name": "assessment-objective", + "id": "THR-01_THR-01_A05", + "prose": "sources of threat intelligence are employed as part of a risk assessment to guide and inform the selection of security solutions." + }, + { + "name": "assessment-objective", + "id": "THR-01_THR-01_A06", + "prose": "sources of threat intelligence are employed as part of a risk assessment to guide and inform system monitoring activities." + }, + { + "name": "assessment-objective", + "id": "THR-01_THR-01_A07", + "prose": "sources of threat intelligence are employed as part of a risk assessment to guide and inform threat hunting activities." + }, + { + "name": "assessment-objective", + "id": "THR-01_THR-01_A08", + "prose": "sources of threat intelligence are employed as part of a risk assessment to guide and inform response and recovery activities." + }, + { + "name": "assessment-objective", + "id": "THR-01_THR-01_A09", + "prose": "contact is established and institutionalized with selected groups and associations within the cybersecurity / data privacy community to facilitate ongoing security education and training for organizational personnel." + }, + { + "name": "assessment-objective", + "id": "THR-01_THR-01_A10", + "prose": "contact is established and institutionalized with selected groups and associations within the cybersecurity / data privacy community to maintain currency with recommended security practices, techniques and technologies." + }, + { + "name": "assessment-objective", + "id": "THR-01_THR-01_A11", + "prose": "contact is established and institutionalized with selected groups and associations within the cybersecurity / data privacy community to share current security information, including threats, vulnerabilities and incidents." + }, + { + "name": "assessment-objective", + "id": "THR-01_THR-01_A12", + "prose": "threat management operations are conducted according to documented policies, standards, procedures and/or other organizational directives." + }, + { + "name": "assessment-objective", + "id": "THR-01_THR-01_A13", + "prose": "adequate resources (e.g., people, processes, technologies, data and/or facilities) are provided to support threat management operations." + }, + { + "name": "assessment-objective", + "id": "THR-01_THR-01_A14", + "prose": "responsibility and authority for the performance of threat management-related activities are assigned to designated personnel." + }, + { + "name": "assessment-objective", + "id": "THR-01_THR-01_A15", + "prose": "personnel performing threat management-related activities have the skills and knowledge needed to perform their assigned duties." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_8" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:tvm-04" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.7" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:pm-16" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pm-15" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pm-16" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pm-15" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pm-15" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pm-16" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pm-15" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pm-16" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pm-15" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pm-16" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pm-15" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pm-16" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:pm-16" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:at-3-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pm-15" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pm-16" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:pm-15" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:pm-16" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:at-3-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:pm-15" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:pm-16" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.12.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.14.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.11.02.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.14.03.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-7" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.ra-03" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.ra-08" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:de" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:de.ae-07" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:a3.5.1" + } + ] + }, + { + "id": "THR-02", + "title": "Indicators of Exposure (IOE)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "THR-02" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to develop Indicators of Exposure (IOE) to understand the potential attack vectors that attackers could use to attack the organization." + }, + { + "name": "assessment-objective", + "id": "THR-02_THR-02_A01", + "prose": "Indicators of Exposure (IOE) exist for personnel to understand the potential attack vectors that attackers could use to attack the organization." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_8" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.7" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.7" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.ra-03" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.ra-05" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.ra-08" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:de" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:de.cm" + } + ] + }, + { + "id": "THR-03", + "title": "Threat Intelligence Feeds", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "THR-03" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management", + "value": "3.5.4.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to maintain situational awareness of vulnerabilities and evolving threats by leveraging the knowledge of attacker tactics, techniques and procedures to facilitate the implementation of preventative and compensating controls." + }, + { + "name": "assessment-objective", + "id": "THR-03_THR-03_A01", + "prose": "external organizations from whom system security alerts, advisories and directives are to be received on an ongoing basis are defined." + }, + { + "name": "assessment-objective", + "id": "THR-03_THR-03_A02", + "prose": "personnel or roles to whom security alerts, advisories and directives are to be disseminated is/are defined." + }, + { + "name": "assessment-objective", + "id": "THR-03_THR-03_A03", + "prose": "elements within the organization to whom security alerts, advisories and directives are to be disseminated are defined." + }, + { + "name": "assessment-objective", + "id": "THR-03_THR-03_A04", + "prose": "external organizations to whom security alerts, advisories and directives are to be disseminated are defined." + }, + { + "name": "assessment-objective", + "id": "THR-03_THR-03_A05", + "prose": "system security alerts, advisories, and directives from external organizations are received on an ongoing basis." + }, + { + "name": "assessment-objective", + "id": "THR-03_THR-03_A06", + "prose": "threat indicator information is identified." + }, + { + "name": "assessment-objective", + "id": "THR-03_THR-03_A07", + "prose": "effective mitigations are identified." + }, + { + "name": "assessment-objective", + "id": "THR-03_THR-03_A08", + "prose": "intrusion detection approaches are identified." + }, + { + "name": "assessment-objective", + "id": "THR-03_THR-03_A09", + "prose": "threat hunting activities are identified." + }, + { + "name": "assessment-objective", + "id": "THR-03_THR-03_A10", + "prose": "internal security alerts, advisories and directives are generated as deemed necessary." + }, + { + "name": "assessment-objective", + "id": "THR-03_THR-03_A11", + "prose": "security alerts, advisories and directives are disseminated per organization-defined criteria." + }, + { + "name": "assessment-objective", + "id": "THR-03_THR-03_A12", + "prose": "security directives are implemented in accordance with established time frames or if the issuing organization is notified of the degree of noncompliance." + }, + { + "name": "assessment-objective", + "id": "THR-03_THR-03_A13", + "prose": "external organizations from which to obtain threat indicator information and effective mitigations are defined." + }, + { + "name": "assessment-objective", + "id": "THR-03_THR-03.1_A03", + "prose": "automated mechanisms used to broadcast security alert and advisory information throughout the organization are defined." + }, + { + "name": "assessment-objective", + "id": "THR-03_THR-03.1_A04", + "prose": "automated mechanisms are used to broadcast security alerts and advisory information throughout the organization." + }, + { + "name": "assessment-objective", + "id": "THR-03_THR-03.1_A05", + "prose": "automated mechanisms are employed to maximize the effectiveness of sharing threat intelligence information." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:tvm-05" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:tvm-06" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:mon-11" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.4" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.4-a" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.4-b" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.4-c" + }, + { + "rel": "mapped-to", + "href": "#iso-27001-2022:_7.4-d" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.7" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:si-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:si-5-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pm-16-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-05-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:si-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:si-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:si-05-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pm-16-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-05-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:si-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:si-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:si-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:pm-16-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:at-3-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:si-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:si-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:si-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:si-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:at-3-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:si-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:si-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.12.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.14.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.02.01.a.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.02.01.a.03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.02.01.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.02.02.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.11.02.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.14.03.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.14.03.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.11.1e" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.14.6e" + }, + { + "rel": "mapped-to", + "href": "#nist-800-207:nist-tenet-7" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.ra-02" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.ra-03" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.ra-08" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:de" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:de.ae-07" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.3.1" + } + ] + }, + { + "id": "THR-03.1", + "title": "Threat Intelligence Reporting", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "THR-03.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to utilize external threat intelligence feeds to generate and disseminate organization-specific security alerts, advisories and/or directives." + }, + { + "name": "assessment-objective", + "id": "THR-03.1_THR-03.1_A01", + "prose": "internal security alerts, advisories, and directives are generated, as necessary." + }, + { + "name": "assessment-objective", + "id": "THR-03.1_THR-03.1_A02", + "prose": "internal security alerts, advisories, and directives are disseminated, as necessary." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_5.7" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_5.7" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.14.03.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.14.03.b-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.14.03.b-02" + }, + { + "rel": "part-of", + "href": "#THR-03" + } + ] + }, + { + "id": "THR-04", + "title": "Insider Threat Program", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "THR-04" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to implement an insider threat program that includes a cross-discipline insider threat incident handling team." + }, + { + "name": "assessment-objective", + "id": "THR-04_THR-04_A01", + "prose": "an insider threat program that includes a cross-discipline insider threat incident handling team is implemented." + }, + { + "name": "assessment-objective", + "id": "THR-04_THR-04_A02", + "prose": "threat indicator information and effective mitigations obtained from external organizations are used to guide and inform intrusion detection and threat hunting." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:pm-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pm-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pm-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pm-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pm-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pm-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pm-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:pm-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:pm-12" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:pm-12" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.ra-03" + } + ] + }, + { + "id": "THR-05", + "title": "Insider Threat Awareness", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "THR-05" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to utilize security awareness training on recognizing and reporting potential indicators of insider threat." + }, + { + "name": "assessment-objective", + "id": "THR-05_THR-05_A01", + "prose": "potential indicators associated with insider threats are identified." + }, + { + "name": "assessment-objective", + "id": "THR-05_THR-05_A02", + "prose": "security literacy training is provided to system users on recognizing indicators of insider threat." + }, + { + "name": "assessment-objective", + "id": "THR-05_THR-05_A03", + "prose": "security literacy training is provided to system users on reporting indicators of insider threat." + }, + { + "name": "assessment-objective", + "id": "THR-05_THR-05_A04", + "prose": "security awareness training on recognizing and reporting potential indicators of insider threat is provided to managers and employees." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:at-2-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:at-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:at-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:at-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:at-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:at-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:at-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:at-2-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:at-2-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:at-2-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:at-2-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.2.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.02.01.a.03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.2.3-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.2.3-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.02.01.a.03-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.02.01.a.03-02" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.ra-03" + } + ] + }, + { + "id": "THR-06", + "title": "Vulnerability Disclosure Program (VDP)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to establish a Vulnerability Disclosure Program (VDP) to assist with the secure development and maintenance of Technology Assets, Applications and/or Services (TAAS) that receives unsolicited input from the public about vulnerabilities in organizational TAAS." + }, + { + "name": "assessment-objective", + "id": "THR-06_THR-06_A01", + "prose": "a public reporting channel is established for receiving reports of vulnerabilities in organizational systems and system components." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_16.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_16.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_16.2" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:trn-03" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:set-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ra-05-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ra-05-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ra-05-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ra-05-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ra-05-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ra-05-11" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:rv.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.3.1" + } + ] + }, + { + "id": "THR-06.1", + "title": "Security Disclosure Contact Information", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to enable public submissions of discovered or potential security vulnerabilities." + }, + { + "name": "assessment-objective", + "id": "THR-06.1_THR-06.1_A01", + "prose": "a process to enable public submissions of discovered or potential security vulnerabilities is defined." + }, + { + "name": "assessment-objective", + "id": "THR-06.1_THR-06.1_A02", + "prose": "a process to receive public submissions of discovered or potential security vulnerabilities is implemented." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "part-of", + "href": "#THR-06" + } + ] + }, + { + "id": "THR-07", + "title": "Threat Hunting", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "THR-07" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to perform cyber threat hunting that uses Indicators of Compromise (IoC) to detect, track and disrupt threats that evade existing security controls." + }, + { + "name": "assessment-objective", + "id": "THR-07_THR-07_A01", + "prose": "a cyber threat capability is established and maintained to search for Indicators of Compromise (IOC) in organizational systems." + }, + { + "name": "assessment-objective", + "id": "THR-07_THR-07_A02", + "prose": "a cyber threat capability is established and maintained to detect, track and disrupt threats that evade existing controls." + }, + { + "name": "assessment-objective", + "id": "THR-07_THR-07_A03", + "prose": "cyber threat hunting activities are conducted according to an organization-defined frequency and/or organization-defined event to detect, track and disrupt threats that evade existing controls." + }, + { + "name": "assessment-objective", + "id": "THR-07_THR-07_A04", + "prose": "sensors and monitoring capabilities to be relocated are defined." + }, + { + "name": "assessment-objective", + "id": "THR-07_THR-07_A05", + "prose": "locations to where sensors and monitoring capabilities are to be relocated are defined." + }, + { + "name": "assessment-objective", + "id": "THR-07_THR-07_A06", + "prose": "conditions or circumstances for relocating sensors and monitoring capabilities are defined." + }, + { + "name": "assessment-objective", + "id": "THR-07_THR-07_A07", + "prose": "sensors and monitoring capabilities are relocated to locations under organization-defined conditions or circumstances." + }, + { + "name": "assessment-objective", + "id": "THR-07_THR-07_A08", + "prose": "Indicators of Compromise (IOC) are defined." + }, + { + "name": "assessment-objective", + "id": "THR-07_THR-07_A09", + "prose": "organizational systems to search for Indicators of Compromise (IOC) are defined." + }, + { + "name": "assessment-objective", + "id": "THR-07_THR-07_A10", + "prose": "the frequency with which to conduct cyber threat hunting activities is defined." + }, + { + "name": "assessment-objective", + "id": "THR-07_THR-07_A11", + "prose": "the event triggering cyber threat hunting activities is defined." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ra-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-48" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sc-48" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ra-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-48" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:ra-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sc-48" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ra-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:ra-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ra-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ra-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.11.1e" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.11.2e" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.14.6e" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.ra-03" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:de" + } + ] + }, + { + "id": "THR-08", + "title": "Tainting", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to embed false data or steganographic data in files to enable the organization to determine if data has been exfiltrated and provide a means to identify the individual(s) involved." + }, + { + "name": "assessment-objective", + "id": "THR-08_THR-08_A01", + "prose": "the systems or system components with data or capabilities to be embedded are defined." + }, + { + "name": "assessment-objective", + "id": "THR-08_THR-08_A02", + "prose": "data or capabilities are embedded in systems or system components to determine if organizational data has been exfiltrated or improperly removed from the organization." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-20" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-20" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:si-20" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:si-20" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:si-20" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:si-20" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:si-20" + } + ] + }, + { + "id": "THR-09", + "title": "Threat Catalog", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "THR-09" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management", + "value": "3.5.4.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to develop and keep current a catalog of applicable internal and external threats to the organization, both natural and manmade." + }, + { + "name": "assessment-objective", + "id": "THR-09_THR-09_A01", + "prose": "the organization maintains a threat catalog that documents applicable internal and external threats that are specific to the organization." + }, + { + "name": "assessment-objective", + "id": "THR-09_THR-09_A02", + "prose": "the threat catalog documents both natural and manmade threats." + }, + { + "name": "assessment-objective", + "id": "THR-09_THR-09_A03", + "prose": "on at least an annual basis, a threat assessment is performed to identify and assess applicable internal and external threats." + }, + { + "name": "assessment-objective", + "id": "THR-09_THR-09_A04", + "prose": "the threat catalog is updated, based on a current threat assessment." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-15-01" + }, + { + "rel": "mapped-to", + "href": "#iso-22301-2019:_6.1.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-39:task-2-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.15.02.a.03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.11.5e" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.ra-03" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.ra-04" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.ra-05" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ir-02" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:de" + } + ] + }, + { + "id": "THR-10", + "title": "Threat Analysis", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "THR-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management", + "value": "3.5.2.3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to identify, assess, prioritize and document the potential impact(s) and likelihood(s) of applicable internal and external threats." + }, + { + "name": "assessment-objective", + "id": "THR-10_THR-10_A01", + "prose": "on at least an annual basis, a threat assessment is performed to identify and assess applicable internal and external threats." + }, + { + "name": "assessment-objective", + "id": "THR-10_THR-10_A02", + "prose": "a threat catalog captures applicable internal and external threats from the threat assessment." + }, + { + "name": "assessment-objective", + "id": "THR-10_THR-10_A03", + "prose": "each item in the threat catalog is prioritized, based on the potential threat to the organization." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_8" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:tvm-10" + }, + { + "rel": "mapped-to", + "href": "#iec-tr-60601-4-5-2021:_4.6.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-39:task-2-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.14.03.b" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.ra-04" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.ra-05" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:de" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:de.ae-07" + } + ] + }, + { + "id": "THR-11", + "title": "Behavioral Baselining", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "THR-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to establish behavioral baselines that capture information about user and entity behavior to enable dynamic threat discovery." + }, + { + "name": "assessment-objective", + "id": "THR-11_THR-11_A01", + "prose": "baselines are captured to establish behavioral baselines about user and entity behavior." + }, + { + "name": "assessment-objective", + "id": "THR-11_THR-11_A02", + "prose": "behavioral baselines about user and entity behavior are leveraged for dynamic threat discovery purposes." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_8" + } + ] + } + ] + }, + { + "id": "vulnerability-patch-management", + "title": "Vulnerability & Patch Management", + "controls": [ + { + "id": "VPM-01", + "title": "Vulnerability & Patch Management Program (VPMP)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "VPM-01" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.33", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.34", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.35", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.36", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.37", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.38", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.39", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to facilitate the implementation and monitoring of vulnerability management controls." + }, + { + "name": "assessment-objective", + "id": "VPM-01_VPM-01_A01", + "prose": "an organization-wide vulnerability and patch management program is developed and implemented to proactively identify and remediation vulnerabilities." + }, + { + "name": "assessment-objective", + "id": "VPM-01_VPM-01_A02", + "prose": "the time within which to identify system flaws is specified." + }, + { + "name": "assessment-objective", + "id": "VPM-01_VPM-01_A03", + "prose": "system flaws are identified within the specified time frame." + }, + { + "name": "assessment-objective", + "id": "VPM-01_VPM-01_A04", + "prose": "the time within which to report system flaws is specified." + }, + { + "name": "assessment-objective", + "id": "VPM-01_VPM-01_A05", + "prose": "system flaws are reported within the specified time frame." + }, + { + "name": "assessment-objective", + "id": "VPM-01_VPM-01_A06", + "prose": "the time within which to correct system flaws is specified." + }, + { + "name": "assessment-objective", + "id": "VPM-01_VPM-01_A07", + "prose": "system flaws are corrected within the specified time frame." + }, + { + "name": "assessment-objective", + "id": "VPM-01_VPM-01_A08", + "prose": "time period within which to install security-relevant software updates after the release of the updates is defined." + }, + { + "name": "assessment-objective", + "id": "VPM-01_VPM-01_A09", + "prose": "software updates related to flaw remediation are tested for effectiveness before installation." + }, + { + "name": "assessment-objective", + "id": "VPM-01_VPM-01_A10", + "prose": "software updates related to flaw remediation are tested for potential side effects before installation." + }, + { + "name": "assessment-objective", + "id": "VPM-01_VPM-01_A11", + "prose": "firmware updates related to flaw remediation are tested for effectiveness before installation." + }, + { + "name": "assessment-objective", + "id": "VPM-01_VPM-01_A12", + "prose": "firmware updates related to flaw remediation are tested for potential side effects before installation." + }, + { + "name": "assessment-objective", + "id": "VPM-01_VPM-01_A13", + "prose": "security-relevant software updates are installed within an organization-defined time period of the release of the updates." + }, + { + "name": "assessment-objective", + "id": "VPM-01_VPM-01_A14", + "prose": "security-relevant firmware updates are installed within an organization-defined time period of the release of the updates." + }, + { + "name": "assessment-objective", + "id": "VPM-01_VPM-01_A15", + "prose": "flaw remediation is incorporated into the organizational configuration management process." + }, + { + "name": "assessment-objective", + "id": "VPM-01_VPM-01_A16", + "prose": "response times to remediate system vulnerabilities are defined." + }, + { + "name": "assessment-objective", + "id": "VPM-01_VPM-01_A17", + "prose": "vulnerability & patch management operations are conducted according to documented policies, standards, procedures and/or other organizational directives." + }, + { + "name": "assessment-objective", + "id": "VPM-01_VPM-01_A18", + "prose": "adequate resources (e.g., people, processes, technologies, data and/or facilities) are provided to support vulnerability & patch management operations." + }, + { + "name": "assessment-objective", + "id": "VPM-01_VPM-01_A19", + "prose": "responsibility and authority for the performance of vulnerability & patch management-related activities are assigned to designated personnel." + }, + { + "name": "assessment-objective", + "id": "VPM-01_VPM-01_A20", + "prose": "personnel performing vulnerability & patch management-related activities have the skills and knowledge needed to perform their assigned duties." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_7.0" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_7.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_18.0" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_7.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_7.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_7.1" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss05.07" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:tvm-01" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:cls-06" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:vln-01" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:vln-04" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.8" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_12.6.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.8" + }, + { + "rel": "mapped-to", + "href": "#nist-privacy-framework-1.0:pr.po-p10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-39:task-2-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:si-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:si-3-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:si-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:si-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:si-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:si-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:si-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:si-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:si-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:si-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:si-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:si-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:si-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:si-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:si-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:si-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:si-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:si-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:si-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:si-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:si-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:si-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.14.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.11.02.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.14.01.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.14.1-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.14.1-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.14.1-c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.14.1-d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.14.1-e" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.14.1-f" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.11.02.odp-03" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.ra-01" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.ra-08" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ps-02" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a05-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_6.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_6.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_6.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_6.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_6.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.3.3" + } + ] + }, + { + "id": "VPM-01.1", + "title": "Attack Surface Scope", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "VPM-01.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to define and manage the scope for its attack surface management activities." + }, + { + "name": "assessment-objective", + "id": "VPM-01.1_VPM-01.1_A01", + "prose": "the breadth of testing and evaluation of required controls is defined." + }, + { + "name": "assessment-objective", + "id": "VPM-01.1_VPM-01.1_A02", + "prose": "the depth of testing and evaluation of required controls is defined." + }, + { + "name": "assessment-objective", + "id": "VPM-01.1_VPM-01.1_A03", + "prose": "system, applications and services are monitored for vulnerabilities per an organization-defined frequency." + }, + { + "name": "assessment-objective", + "id": "VPM-01.1_VPM-01.1_A04", + "prose": "systems and system components are included in the scope of the specified enhanced security requirements." + }, + { + "name": "assessment-objective", + "id": "VPM-01.1_VPM-01.1_A05", + "prose": "systems and system components that are not included in systems and system components are segregated in purpose-specific networks." + }, + { + "name": "assessment-objective", + "id": "VPM-01.1_VPM-01.1_A06", + "prose": "the developer of the system, system component or system service is required to perform attack surface reviews." + }, + { + "name": "assessment-objective", + "id": "VPM-01.1_VPM-01.1_A07", + "prose": "the developer of the system, system component, or system service is required to perform vulnerability analyses during the subsequent testing and evaluation of the system, component, or service that produces evidence that meets an organization-defined breadth." + }, + { + "name": "assessment-objective", + "id": "VPM-01.1_VPM-01.1_A08", + "prose": "the developer of the system, system component, or system service is required to verify that the scope of testing and evaluation provides complete coverage of the required controls at an organization-defined depth." + }, + { + "name": "assessment-objective", + "id": "VPM-01.1_VPM-01.1_A09", + "prose": "the system is monitored for vulnerabilities ." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:tvm-03" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:cls-06" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:vln-02" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.8" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.8" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_4.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-11-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-11-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sa-11-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sa-11-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-11-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-11-07" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sa-11-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.11.02.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.14.01.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.11.02.a-01" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ps-02" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.3.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.3.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.3.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.3.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_11.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_11.3.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_6.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_11.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_11.3.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_11.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_11.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_11.3.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_11.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_11.3.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_11.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_11.3.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_11.3.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_11.3.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_11.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_11.3.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.3.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.3.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.3.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.3.2.1" + }, + { + "rel": "part-of", + "href": "#VPM-01" + } + ] + }, + { + "id": "VPM-02", + "title": "Vulnerability Remediation Process", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "VPM-02" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure that vulnerabilities are properly identified, tracked and remediated." + }, + { + "name": "assessment-objective", + "id": "VPM-02_VPM-02_A01", + "prose": "vulnerabilities are identified." + }, + { + "name": "assessment-objective", + "id": "VPM-02_VPM-02_A02", + "prose": "response times to remediate system vulnerabilities are defined." + }, + { + "name": "assessment-objective", + "id": "VPM-02_VPM-02_A03", + "prose": "vulnerabilities are remediated in accordance with risk assessments." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_7.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_7.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_7.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_7.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_7.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_7.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_7.7" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss06.04" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_17" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:cls-06" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:vln-04" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:event-1.9" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.8" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_12.6.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.8" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_10.2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_10.2-a" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_10.2-a-1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_10.2-a-2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_10.2-b" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_10.2-b-1" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_10.2-b-2" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_10.2-b-3" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_10.2-c" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_10.2-d" + }, + { + "rel": "mapped-to", + "href": "#iso-42001-2023:_10.2-e" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:pm-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-18-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pm-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-18-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pm-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sc-18-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pm-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-18-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:pm-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:pm-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:pm-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pm-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:pm-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:pm-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.14.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.11.02.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.12.02.a.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.14.01.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.11.3-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.11.3-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.11.02.odp-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-218:rv.2.2" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.ra-08" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ps-02" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a05-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.3.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.3.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.3.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.3.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:a3.3.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_11.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_11.3.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_11.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_11.3.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_11.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_11.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_11.3.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_11.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_11.3.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_11.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_11.3.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_11.3.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_11.3.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_11.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_11.3.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.3.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.3.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.3.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.3.2.1" + } + ] + }, + { + "id": "VPM-03", + "title": "Vulnerability Ranking", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "VPM-03" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management", + "value": "3.5.2.3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to identify and assign a risk ranking to newly discovered security vulnerabilities using reputable outside sources for security vulnerability information." + }, + { + "name": "assessment-objective", + "id": "VPM-03_VPM-03_A01", + "prose": "a risk ranking methodology is utilized to prioritize newly discovered security vulnerabilities." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:tvm-03" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:tvm-09" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:vln-04" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.8" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.11.02.a" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.ra-08" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a05-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.3.1" + } + ] + }, + { + "id": "VPM-03.1", + "title": "Vulnerability Exploitation Analysis", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to identify, assess, prioritize and document the potential impact(s) and likelihood(s) of applicable internal and external threats exploiting known vulnerabilities." + }, + { + "name": "assessment-objective", + "id": "VPM-03.1_VPM-03.1_A01", + "prose": "on at least an annual basis, a threat assessment is performed to identify and assess applicable internal and external threats." + }, + { + "name": "assessment-objective", + "id": "VPM-03.1_VPM-03.1_A02", + "prose": "a threat catalog captures applicable internal and external threats from the threat assessment." + }, + { + "name": "assessment-objective", + "id": "VPM-03.1_VPM-03.1_A03", + "prose": "the scope of Attack Surface Management (ASM) is defined." + }, + { + "name": "assessment-objective", + "id": "VPM-03.1_VPM-03.1_A04", + "prose": "vulnerability scanning activities are performed against the scope of ASM to identify applicable vulnerabilities." + }, + { + "name": "assessment-objective", + "id": "VPM-03.1_VPM-03.1_A05", + "prose": "the organization documents the potential impact(s) and likelihood(s) of applicable internal and external threats exploiting known vulnerabilities." + }, + { + "name": "assessment-objective", + "id": "VPM-03.1_VPM-03.1_A06", + "prose": "each item in the threat catalog is prioritized, based on potential impact(s) and likelihood(s) of applicable internal and external threats exploiting identified vulnerabilities." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-08-05" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-08-06" + }, + { + "rel": "part-of", + "href": "#VPM-03" + } + ] + }, + { + "id": "VPM-04", + "title": "Continuous Vulnerability Remediation Activities", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "VPM-04" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to address new threats and vulnerabilities on an ongoing basis and ensure assets are protected against known attacks." + }, + { + "name": "assessment-objective", + "id": "VPM-04_VPM-04_A01", + "prose": "sources of new threats and vulnerabilities are defined." + }, + { + "name": "assessment-objective", + "id": "VPM-04_VPM-04_A02", + "prose": "a time period is defined to seek out new, applicable threats and vulnerabilities." + }, + { + "name": "assessment-objective", + "id": "VPM-04_VPM-04_A03", + "prose": "a capability exists to respond to new threats and vulnerabilities on an ongoing basis." + }, + { + "name": "assessment-objective", + "id": "VPM-04_VPM-04_A04", + "prose": "system vulnerabilities are remediated within organization-defined response times." + }, + { + "name": "assessment-objective", + "id": "VPM-04_VPM-04_A05", + "prose": "system vulnerabilities are remediated within ." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_7.0" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_7.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_12.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_18.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_12.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_7.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_12.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_18.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_7.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_12.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_18.3" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss06.04" + }, + { + "rel": "mapped-to", + "href": "#coso-2013:_17" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:tvm-08" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:tvm-10" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:cls-06" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:vln-03" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-08-07" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-08-07-a" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-08-07-b" + }, + { + "rel": "mapped-to", + "href": "#iso-sae-21434-2021:rq-08-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-18-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-18-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sc-18-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-18-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.11.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.11.02.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.14.01.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.14.01.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.11.02.b" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a05-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_6.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_6.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_6.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_6.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_6.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.3.3" + } + ] + }, + { + "id": "VPM-04.1", + "title": "Stable Versions", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to install the latest stable version of any software and/or security-related updates on all applicable systems." + }, + { + "name": "assessment-objective", + "id": "VPM-04.1_VPM-04.1_A01", + "prose": "the latest stable version of software and/or security-related updates is installed on applicable systems." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_12.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_12.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_12.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_12.1" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:cls-06" + }, + { + "rel": "part-of", + "href": "#VPM-04" + } + ] + }, + { + "id": "VPM-04.2", + "title": "Flaw Remediation with Personal Data (PD)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to identify and correct flaws related to the collection, usage, processing or dissemination of Personal Data (PD)." + }, + { + "name": "assessment-objective", + "id": "VPM-04.2_VPM-04.2_A01", + "prose": "flaws related to the collection, usage, processing or dissemination of Personal Data (PD) are identified." + }, + { + "name": "assessment-objective", + "id": "VPM-04.2_VPM-04.2_A02", + "prose": "flaws related to the collection, usage, processing or dissemination of Personal Data (PD) are corrected." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "part-of", + "href": "#VPM-04" + } + ] + }, + { + "id": "VPM-04.3", + "title": "Deferred Patching Decisions", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to facilitate the deferral of software and/or firmware patches when the disadvantages of applying the patch outweighs the benefits." + }, + { + "name": "assessment-objective", + "id": "VPM-04.3_VPM-04.3_A01", + "prose": "criteria are defined to justify the deferral of software and/or firmware patches." + }, + { + "name": "assessment-objective", + "id": "VPM-04.3_VPM-04.3_A02", + "prose": "the deferral of software and/or firmware patches is facilitated when the disadvantages of applying the patch outweighs the benefits, based on organization-defined criteria." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:comp-3.5" + }, + { + "rel": "part-of", + "href": "#VPM-04" + } + ] + }, + { + "id": "VPM-05", + "title": "Software & Firmware Patching", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "VPM-05" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to conduct software patching for all deployed Technology Assets, Applications and/or Services (TAAS), including firmware." + }, + { + "name": "assessment-objective", + "id": "VPM-05_VPM-05_A01", + "prose": "the time period within which to install security-relevant software updates after the release of the updates is defined." + }, + { + "name": "assessment-objective", + "id": "VPM-05_VPM-05_A02", + "prose": "system flaws are identified." + }, + { + "name": "assessment-objective", + "id": "VPM-05_VPM-05_A03", + "prose": "automated patch management tools are employed to facilitate flaw remediation to components." + }, + { + "name": "assessment-objective", + "id": "VPM-05_VPM-05_A04", + "prose": "system flaws are corrected." + }, + { + "name": "assessment-objective", + "id": "VPM-05_VPM-05_A05", + "prose": "system flaws are reported." + }, + { + "name": "assessment-objective", + "id": "VPM-05_VPM-05_A06", + "prose": "software updates related to flaw remediation are tested for effectiveness before installation." + }, + { + "name": "assessment-objective", + "id": "VPM-05_VPM-05_A07", + "prose": "software updates related to flaw remediation are tested for potential side effects before installation." + }, + { + "name": "assessment-objective", + "id": "VPM-05_VPM-05_A08", + "prose": "firmware updates related to flaw remediation are tested for effectiveness before installation." + }, + { + "name": "assessment-objective", + "id": "VPM-05_VPM-05_A09", + "prose": "firmware updates related to flaw remediation are tested for potential side effects before installation." + }, + { + "name": "assessment-objective", + "id": "VPM-05_VPM-05_A10", + "prose": "security-relevant software updates are installed within an organization-defined time period of the release of the updates." + }, + { + "name": "assessment-objective", + "id": "VPM-05_VPM-05_A11", + "prose": "security-relevant firmware updates are installed within an organization-defined time period of the release of the updates." + }, + { + "name": "assessment-objective", + "id": "VPM-05_VPM-05_A12", + "prose": "flaw remediation is incorporated into the organizational configuration management process." + }, + { + "name": "assessment-objective", + "id": "VPM-05_VPM-05_A13", + "prose": "the system components requiring automated patch management tools to facilitate flaw remediation are defined." + }, + { + "name": "assessment-objective", + "id": "VPM-05_VPM-05_A14", + "prose": "the time period within which to install security-relevant firmware updates after the release of the updates is defined." + }, + { + "name": "assessment-objective", + "id": "VPM-05_VPM-05_A15", + "prose": "system vulnerabilities are remediated within ." + }, + { + "name": "assessment-objective", + "id": "VPM-05_VPM-05_A16", + "prose": "security-relevant software updates are installed within of the release of the updates." + }, + { + "name": "assessment-objective", + "id": "VPM-05_VPM-05_A17", + "prose": "security-relevant firmware updates are installed within of the release of the updates." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_7.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_7.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_12.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_18.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_7.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_7.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_12.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_7.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_7.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_12.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_18.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_7.3" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_7.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_12.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_18.3" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:ccm-07" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:cls-06" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:vln-01" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.8" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_12.6.1" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:si-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:si-3-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-02-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:si-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:si-02-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:si-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:si-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:si-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-02-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:si-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:si-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:si-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:si-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:si-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:si-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:si-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:si-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:si-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:si-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:si-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:si-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:si-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:si-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:si-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:si-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.11.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.14.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.11.02.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.12.02.a.02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.14.01.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.14.01.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.11.02.b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.14.01.odp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.14.01.odp-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.14.01.a-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.14.01.a-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.14.01.a-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.14.01.b-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.14.01.b-02" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:pr.ps-02" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_6.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_6.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_6.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_6.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_6.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.3.3" + } + ] + }, + { + "id": "VPM-05.1", + "title": "Centralized Management of Flaw Remediation Processes", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to centrally-manage the flaw remediation process." + }, + { + "name": "assessment-objective", + "id": "VPM-05.1_VPM-05.1_A01", + "prose": "cybersecurity / data privacy controls and related processes to be centrally managed are defined." + }, + { + "name": "assessment-objective", + "id": "VPM-05.1_VPM-05.1_A02", + "prose": "controls and related processes are centrally managed." + }, + { + "name": "assessment-objective", + "id": "VPM-05.1_VPM-05.1_A03", + "prose": "the system components requiring automated patch management tools to facilitate flaw remediation are defined." + }, + { + "name": "assessment-objective", + "id": "VPM-05.1_VPM-05.1_A04", + "prose": "automated patch management tools are employed to facilitate flaw remediation to components." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_7.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_7.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_7.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_7.4" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:tvm-11" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:ccm-06" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:ccm-07" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:cls-06" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:vln-01" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:vln-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:si-2-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:pl-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-02-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:pl-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:si-02-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:pl-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-02-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:pl-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-1:pl-9" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:pl-9" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_6.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_6.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_6.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_6.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_6.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_6.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_6.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_6.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_6.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c-vt:_6.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.3.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.4.3" + }, + { + "rel": "part-of", + "href": "#VPM-05" + } + ] + }, + { + "id": "VPM-05.2", + "title": "Automated Remediation Status", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to determine the state of system components with regard to flaw remediation." + }, + { + "name": "assessment-objective", + "id": "VPM-05.2_VPM-05.2_A01", + "prose": "automated mechanisms to determine if applicable security-relevant software and firmware updates are installed on system components are defined." + }, + { + "name": "assessment-objective", + "id": "VPM-05.2_VPM-05.2_A02", + "prose": "the frequency at which to determine if applicable security-relevant software and firmware updates are installed on system components is defined." + }, + { + "name": "assessment-objective", + "id": "VPM-05.2_VPM-05.2_A03", + "prose": "system components have applicable security-relevant software and firmware updates installed frequency using automated mechanisms." + }, + { + "name": "assessment-objective", + "id": "VPM-05.2_VPM-05.2_A04", + "prose": "the system components requiring automated patch management tools to facilitate flaw remediation are defined." + }, + { + "name": "assessment-objective", + "id": "VPM-05.2_VPM-05.2_A05", + "prose": "automated patch management tools are employed to facilitate flaw remediation to components." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_7.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_7.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_7.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_7.4" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:comp-3.3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:si-2-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-02-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:si-02-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:si-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-02-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:si-02-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:si-02-02" + }, + { + "rel": "part-of", + "href": "#VPM-05" + } + ] + }, + { + "id": "VPM-05.3", + "title": "Time To Remediate / Benchmarks For Corrective Action", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to track the effectiveness of remediation operations through metrics reporting." + }, + { + "name": "assessment-objective", + "id": "VPM-05.3_VPM-05.3_A01", + "prose": "the benchmarks for taking corrective actions are defined." + }, + { + "name": "assessment-objective", + "id": "VPM-05.3_VPM-05.3_A02", + "prose": "the time between flaw identification and flaw remediation is measured." + }, + { + "name": "assessment-objective", + "id": "VPM-05.3_VPM-05.3_A03", + "prose": "benchmarks for taking corrective actions have been established." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-2.7-006" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:si-2-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-02-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-02-03" + }, + { + "rel": "part-of", + "href": "#VPM-05" + } + ] + }, + { + "id": "VPM-05.4", + "title": "Automated Software & Firmware Updates", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to install the latest stable versions of security-relevant software and firmware updates." + }, + { + "name": "assessment-objective", + "id": "VPM-05.4_VPM-05.4_A01", + "prose": "the system components requiring automated patch management tools to facilitate flaw remediation are defined." + }, + { + "name": "assessment-objective", + "id": "VPM-05.4_VPM-05.4_A02", + "prose": "automated patch management tools are employed to facilitate flaw remediation to components." + }, + { + "name": "assessment-objective", + "id": "VPM-05.4_VPM-05.4_A03", + "prose": "security-relevant software and firmware updates to be automatically installed to system components are defined." + }, + { + "name": "assessment-objective", + "id": "VPM-05.4_VPM-05.4_A04", + "prose": "system components requiring security-relevant software updates to be automatically installed are defined." + }, + { + "name": "assessment-objective", + "id": "VPM-05.4_VPM-05.4_A05", + "prose": "security-relevant software and firmware updates are installed automatically to system components." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_7.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_7.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_7.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_7.4" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:ccm-07" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:cls-06" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:vln-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:si-2-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-02-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-02-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:si-02-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-02-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-02-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:si-2-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:si-2-5" + }, + { + "rel": "part-of", + "href": "#VPM-05" + } + ] + }, + { + "id": "VPM-05.5", + "title": "Removal of Previous Versions", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to remove old versions of software and firmware components after updated versions have been installed." + }, + { + "name": "assessment-objective", + "id": "VPM-05.5_VPM-05.5_A01", + "prose": "software and firmware components to be removed after updated versions have been installed are defined." + }, + { + "name": "assessment-objective", + "id": "VPM-05.5_VPM-05.5_A02", + "prose": "previous versions of software and firmware components are removed after updated versions have been installed." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:si-2-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:si-02-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:si-02-06" + }, + { + "rel": "part-of", + "href": "#VPM-05" + } + ] + }, + { + "id": "VPM-05.6", + "title": "Pre-Deployment Patch Testing", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to perform due diligence on software and/or firmware update stability by conducting pre-production testing in a non-production environment." + }, + { + "name": "assessment-objective", + "id": "VPM-05.6_VPM-05.6_A01", + "prose": "a process to conduct reasonable testing of software and/or firmware patching in a non-production environment, prior to production release, is defined." + }, + { + "name": "assessment-objective", + "id": "VPM-05.6_VPM-05.6_A02", + "prose": "prior to production release, the organization performs reasonable testing of software and/or firmware patching in a non-production environment." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:comp-3.2" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:comp-3.4" + }, + { + "rel": "part-of", + "href": "#VPM-05" + } + ] + }, + { + "id": "VPM-05.7", + "title": "Out-of-Cycle Patching", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to perform out-of-cycle software and/or firmware updates to address time-sensitive remediations." + }, + { + "name": "assessment-objective", + "id": "VPM-05.7_VPM-05.7_A01", + "prose": "a process to perform out-of-cycle software and/or firmware patching to address time-sensitive remediations is defined." + }, + { + "name": "assessment-objective", + "id": "VPM-05.7_VPM-05.7_A02", + "prose": "the organization performs out-of-cycle software and/or firmware patching to address time-sensitive remediations." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "part-of", + "href": "#VPM-05" + } + ] + }, + { + "id": "VPM-05.8", + "title": "Software Patch Integrity", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure software and/or firmware patches are:\r\n(1) Obtained from trusted sources; and \r\n(2) Checked for integrity." + }, + { + "name": "assessment-objective", + "id": "VPM-05.8_VPM-05.8_A01", + "prose": "software and/or firmware patches are obtained from trusted sources." + }, + { + "name": "assessment-objective", + "id": "VPM-05.8_VPM-05.8_A02", + "prose": "software and/or firmware patches are checked for integrity." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:comp-3.1" + }, + { + "rel": "part-of", + "href": "#VPM-05" + } + ] + }, + { + "id": "VPM-06", + "title": "Vulnerability Scanning", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "VPM-06" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.imo-maritime-cyber-risk-management", + "value": "3.5.2.3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to detect vulnerabilities and configuration errors by routine vulnerability scanning of systems and applications." + }, + { + "name": "assessment-objective", + "id": "VPM-06_VPM-06_A01", + "prose": "the frequency at which the system is scanned for vulnerabilities is defined." + }, + { + "name": "assessment-objective", + "id": "VPM-06_VPM-06_A02", + "prose": "response times to remediate legitimate vulnerabilities in accordance with an organizational assessment of risk are defined." + }, + { + "name": "assessment-objective", + "id": "VPM-06_VPM-06_A03", + "prose": "personnel or roles with whom information obtained from the vulnerability scanning process and control assessments are to be shared." + }, + { + "name": "assessment-objective", + "id": "VPM-06_VPM-06_A04", + "prose": "vulnerability scan reports and results from vulnerability monitoring are analyzed." + }, + { + "name": "assessment-objective", + "id": "VPM-06_VPM-06_A05", + "prose": "systems and hosted applications are scanned for vulnerabilities frequently and/or randomly in accordance with organization-defined process and when new vulnerabilities potentially affecting the system are identified and reported." + }, + { + "name": "assessment-objective", + "id": "VPM-06_VPM-06_A06", + "prose": "vulnerability monitoring tools and techniques are employed to facilitate interoperability among tools." + }, + { + "name": "assessment-objective", + "id": "VPM-06_VPM-06_A07", + "prose": "vulnerability monitoring tools and techniques are employed to automate parts of the vulnerability management process by using standards for enumerating platforms, software flaws and improper configurations." + }, + { + "name": "assessment-objective", + "id": "VPM-06_VPM-06_A08", + "prose": "vulnerability monitoring tools and techniques are employed to facilitate interoperability among tools and to automate parts of the vulnerability management process by using standards for formatting checklists and test procedures." + }, + { + "name": "assessment-objective", + "id": "VPM-06_VPM-06_A09", + "prose": "vulnerability monitoring tools and techniques are employed to facilitate interoperability among tools and to automate parts of the vulnerability management process by using standards for measuring vulnerability impact." + }, + { + "name": "assessment-objective", + "id": "VPM-06_VPM-06_A10", + "prose": "the system is scanned for vulnerabilities per an organization-defined frequency." + }, + { + "name": "assessment-objective", + "id": "VPM-06_VPM-06_A11", + "prose": "vulnerability scans are performed on applications with the defined frequency." + }, + { + "name": "assessment-objective", + "id": "VPM-06_VPM-06_A12", + "prose": "the system is monitored for vulnerabilities when new vulnerabilities that affect the system are identified." + }, + { + "name": "assessment-objective", + "id": "VPM-06_VPM-06_A13", + "prose": "the system is scanned for vulnerabilities when new vulnerabilities that affect the system are identified." + }, + { + "name": "assessment-objective", + "id": "VPM-06_VPM-06_A14", + "prose": "legitimate vulnerabilities are remediated response times in accordance with an organizational assessment of risk." + }, + { + "name": "assessment-objective", + "id": "VPM-06_VPM-06_A15", + "prose": "information obtained from the vulnerability monitoring process and control assessments is shared with personnel or roles to help eliminate similar vulnerabilities in other systems." + }, + { + "name": "assessment-objective", + "id": "VPM-06_VPM-06_A16", + "prose": "vulnerability monitoring tools that include the capability to readily update the vulnerabilities to be scanned are employed." + }, + { + "name": "assessment-objective", + "id": "VPM-06_VPM-06_A17", + "prose": "the frequency at which to update system vulnerabilities to be scanned is defined." + }, + { + "name": "assessment-objective", + "id": "VPM-06_VPM-06_A18", + "prose": "the system is monitored for vulnerabilities per an organization-defined frequency." + }, + { + "name": "assessment-objective", + "id": "VPM-06_VPM-06_A19", + "prose": "system vulnerabilities to be scanned are updated per an organization-defined frequency." + }, + { + "name": "assessment-objective", + "id": "VPM-06_VPM-06_A20", + "prose": "system vulnerabilities to be scanned are updated when new vulnerabilities are identified and reported." + }, + { + "name": "assessment-objective", + "id": "VPM-06_VPM-06_A21", + "prose": "the frequency at which the system is monitored for vulnerabilities is defined." + }, + { + "name": "assessment-objective", + "id": "VPM-06_VPM-06_A22", + "prose": "the system is monitored for vulnerabilities ." + }, + { + "name": "assessment-objective", + "id": "VPM-06_VPM-06_A23", + "prose": "the system is scanned for vulnerabilities ." + }, + { + "name": "assessment-objective", + "id": "VPM-06_VPM-06_A24", + "prose": "system vulnerabilities to be scanned are updated ." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_7.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_7.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_7.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_7.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_7.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_7.6" + }, + { + "rel": "mapped-to", + "href": "#cobit-2019:dss05.07" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:vln-04" + }, + { + "rel": "mapped-to", + "href": "#iec-62443-2-1-2024:org-2.2-c" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.8" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.8" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-2.6-007" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ra-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ra-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ra-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ra-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ra-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ra-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ra-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ra-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ra-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:ra-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:ra-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ra-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ra-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.11.2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.11.02.a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.11.2-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.11.2-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.11.2-c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.11.2-d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.11.2-e" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.11.02.odp-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.11.02.odp-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.11.02.odp-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.11.02.a-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.11.02.a-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.11.02.a-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.11.02.a-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.11.02.c-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.11.02.c-02" + }, + { + "rel": "mapped-to", + "href": "#nist-csf-2.0:id.ra-01" + }, + { + "rel": "mapped-to", + "href": "#owasp-top-10-2025:a05-2025" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.3.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.3.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.3.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.3.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_11.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_11.3.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_6.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_11.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_11.3.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_11.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_11.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_11.3.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_11.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_11.3.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_11.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_11.3.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_11.3.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_11.3.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_11.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_11.3.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.3.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.3.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.3.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.3.2.1" + } + ] + }, + { + "id": "VPM-06.1", + "title": "Update Tool Capability", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "VPM-06.1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to update vulnerability scanning tools." + }, + { + "name": "assessment-objective", + "id": "VPM-06.1_VPM-06.1_A01", + "prose": "the frequency at which to update system vulnerabilities to be scanned is defined." + }, + { + "name": "assessment-objective", + "id": "VPM-06.1_VPM-06.1_A02", + "prose": "system vulnerabilities to be scanned are updated per an organization-defined frequency." + }, + { + "name": "assessment-objective", + "id": "VPM-06.1_VPM-06.1_A03", + "prose": "system vulnerabilities to be scanned are updated when new vulnerabilities are identified and reported." + }, + { + "name": "assessment-objective", + "id": "VPM-06.1_VPM-06.1_A04", + "prose": "system vulnerabilities to be scanned are updated ." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:tvm-05" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:tvm-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ra-5-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ra-5-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ra-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ra-05-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:ra-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ra-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-low:ra-05-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ra-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ra-05-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ra-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-low-ot-overlay:ra-05-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ra-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ra-05-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ra-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ra-05-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ra-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-c-scrm-baseline:ra-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-flow-down:ra-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ra-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ra-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:nfo-ra-5-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:nfo-ra-5-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.11.02.c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.11.02.odp-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.11.02.c-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a-r3:a.03.11.02.c-02" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_11.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_11.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.3.1" + }, + { + "rel": "part-of", + "href": "#VPM-06" + } + ] + }, + { + "id": "VPM-06.2", + "title": "Breadth / Depth of Coverage", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to identify the breadth and depth of coverage for vulnerability scanning that define the system components scanned and types of vulnerabilities that are checked for." + }, + { + "name": "assessment-objective", + "id": "VPM-06.2_VPM-06.2_A01", + "prose": "the breadth and depth of vulnerability scanning coverage are defined." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:vln-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ra-5-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ra-05-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ra-05-03" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ra-5-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ra-5-3" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ra-5-3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.3.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_11.3.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_11.3.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_11.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_11.3.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_11.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_11.3.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.3.2.1" + }, + { + "rel": "part-of", + "href": "#VPM-06" + } + ] + }, + { + "id": "VPM-06.3", + "title": "Privileged Access", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to implement privileged access authorization for selected vulnerability scanning activities." + }, + { + "name": "assessment-objective", + "id": "VPM-06.3_VPM-06.3_A01", + "prose": "system components to which privileged access is authorized for selected vulnerability scanning activities are defined." + }, + { + "name": "assessment-objective", + "id": "VPM-06.3_VPM-06.3_A02", + "prose": "vulnerability scanning activities selected for privileged access authorization to system components are defined." + }, + { + "name": "assessment-objective", + "id": "VPM-06.3_VPM-06.3_A03", + "prose": "privileged access authorization is implemented to system components for vulnerability scanning activities." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:iam-09" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ra-5-5" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ra-05-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-moderate:ra-05-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ra-05-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-moderate-ot-overlay:ra-05-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ra-05-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:ra-05-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.11.2" + }, + { + "rel": "part-of", + "href": "#VPM-06" + } + ] + }, + { + "id": "VPM-06.4", + "title": "Trend Analysis", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to compare the results of vulnerability scans over time to determine trends in system vulnerabilities." + }, + { + "name": "assessment-objective", + "id": "VPM-06.4_VPM-06.4_A01", + "prose": "automated mechanisms to compare the results of multiple vulnerability scans are defined." + }, + { + "name": "assessment-objective", + "id": "VPM-06.4_VPM-06.4_A02", + "prose": "the results of multiple vulnerability scans are compared using automated mechanisms." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ra-5-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ra-05-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ra-05-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:ra-05-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1:ra-5-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-2:ra-5-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-161-r1-level-3:ra-5-6" + }, + { + "rel": "part-of", + "href": "#VPM-06" + } + ] + }, + { + "id": "VPM-06.5", + "title": "Review Historical Event logs", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to review historical event logs to determine if identified vulnerabilities have been previously exploited." + }, + { + "name": "assessment-objective", + "id": "VPM-06.5_VPM-06.5_A01", + "prose": "a system, application or service whose historic event logs are to be reviewed is defined." + }, + { + "name": "assessment-objective", + "id": "VPM-06.5_VPM-06.5_A02", + "prose": "a time period for a potential previous exploit of a system, application or service is defined." + }, + { + "name": "assessment-objective", + "id": "VPM-06.5_VPM-06.5_A03", + "prose": "historic event logs are reviewed to determine if a vulnerability identified in a system, application or service has been previously exploited within an organization-defined time period." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ra-5-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ra-05-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ra-05-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:ra-05-08" + }, + { + "rel": "part-of", + "href": "#VPM-06" + } + ] + }, + { + "id": "VPM-06.6", + "title": "External Vulnerability Assessment Scans", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to perform quarterly external vulnerability scans (outside the organization's network looking inward) via a reputable vulnerability service provider, which include rescans until passing results are obtained or all “high” vulnerabilities are resolved, as defined by the Common Vulnerability Scoring System (CVSS)." + }, + { + "name": "assessment-objective", + "id": "VPM-06.6_VPM-06.6_A01", + "prose": "for Payment Card Industry Data Security Standard (PCI DSS) compliance, quarterly external vulnerability scans (outside the organization's network looking inward) via a reputable vulnerability service provider, are performed until passing results are obtained or all “high” vulnerabilities are resolved, as defined by the Common Vulnerability Scoring System (CVSS)." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_7.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_7.6" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_7.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.3.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_11.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_11.3.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_6.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_11.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_11.3.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_11.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_11.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_11.3.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_11.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_11.3.2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.3.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.3.2.1" + }, + { + "rel": "part-of", + "href": "#VPM-06" + } + ] + }, + { + "id": "VPM-06.7", + "title": "Internal Vulnerability Assessment Scans", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to perform quarterly internal vulnerability scans, which includes all segments of the organization's internal network, as well as rescans until passing results are obtained or all “high” vulnerabilities are resolved, as defined by the Common Vulnerability Scoring System (CVSS)." + }, + { + "name": "assessment-objective", + "id": "VPM-06.7_VPM-06.7_A01", + "prose": "for Payment Card Industry Data Security Standard (PCI DSS) compliance, quarterly internal vulnerability scans, which includes all segments of the organization's internal network, are performed until passing results are obtained or all “high” vulnerabilities are resolved, as defined by the Common Vulnerability Scoring System (CVSS)." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_7.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_7.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_7.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.3.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.3.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_11.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_11.3.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_11.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_11.3.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_11.3.1.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.3.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.3.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.3.1.3" + }, + { + "rel": "part-of", + "href": "#VPM-06" + } + ] + }, + { + "id": "VPM-06.8", + "title": "Acceptable Discoverable Information", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to define what information is allowed to be discoverable by adversaries and take corrective actions to remediate non-compliant Technology Assets, Applications and/or Services (TAAS)." + }, + { + "name": "assessment-objective", + "id": "VPM-06.8_VPM-06.8_A01", + "prose": "corrective actions to be taken if information about the system is discoverable are defined." + }, + { + "name": "assessment-objective", + "id": "VPM-06.8_VPM-06.8_A02", + "prose": "corrective actions are taken when information about the system is confirmed as discoverable." + }, + { + "name": "assessment-objective", + "id": "VPM-06.8_VPM-06.8_A03", + "prose": "information about the system is discoverable." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ra-5-4" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ra-05-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:ra-05-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ra-05-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ra-05-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:ra-05-04" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_1.4.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_1.4.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_1.4.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_1.4.5" + }, + { + "rel": "part-of", + "href": "#VPM-06" + } + ] + }, + { + "id": "VPM-06.9", + "title": "Correlate Scanning Information", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Automated mechanisms exist to correlate the output from vulnerability scanning tools to determine the presence of multi-vulnerability/multi-hop attack vectors." + }, + { + "name": "assessment-objective", + "id": "VPM-06.9_VPM-06.9_A01", + "prose": "the output from vulnerability scanning tools is correlated to determine the presence of multi-vulnerability and multi-hop attack vectors." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ra-5-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ra-05-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ra-05-10" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:ra-05-10" + }, + { + "rel": "part-of", + "href": "#VPM-06" + } + ] + }, + { + "id": "VPM-07", + "title": "Penetration Testing", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "VPM-07" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to conduct penetration testing on Technology Assets, Applications and/or Services (TAAS)." + }, + { + "name": "assessment-objective", + "id": "VPM-07_VPM-07_A01", + "prose": "the breadth of penetration testing is defined." + }, + { + "name": "assessment-objective", + "id": "VPM-07_VPM-07_A02", + "prose": "the depth of penetration testing is defined." + }, + { + "name": "assessment-objective", + "id": "VPM-07_VPM-07_A03", + "prose": "constraints of penetration testing are defined." + }, + { + "name": "assessment-objective", + "id": "VPM-07_VPM-07_A04", + "prose": "automated scanning tools are identified." + }, + { + "name": "assessment-objective", + "id": "VPM-07_VPM-07_A05", + "prose": "ad hoc tests using subject matter experts are identified." + }, + { + "name": "assessment-objective", + "id": "VPM-07_VPM-07_A06", + "prose": "penetration testing is conducted frequently leveraging automated scanning tools and ad hoc tests using subject matter experts." + }, + { + "name": "assessment-objective", + "id": "VPM-07_VPM-07_A07", + "prose": "frequency at which to conduct penetration testing on systems or system components is defined." + }, + { + "name": "assessment-objective", + "id": "VPM-07_VPM-07_A08", + "prose": "penetration testing is conducted organization-defined frequency on organization-defined system(s) or system components." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_18.0" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_18.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_18.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_18.5" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_18.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_18.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_18.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_18.2" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_18.5" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:tvm-07" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:set-02" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:set-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ca-8" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ca-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sa-11-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-privacy:sa-11-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:ca-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ca-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sa-11-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3-high-ot-overlay:ca-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:ca-08" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:sa-11-05" + }, + { + "rel": "mapped-to", + "href": "#nist-800-172:_3.12.1e" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.4.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.4.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.4.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.4.7" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:a3.2.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_11.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_11.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_11.4.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_11.4.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_11.4.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_11.4.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_11.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_11.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_11.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_11.4.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_11.4.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.4.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.4.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.4.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.4.7" + } + ] + }, + { + "id": "VPM-07.1", + "title": "Independent Penetration Agent or Team", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to utilize an independent assessor or penetration team to perform penetration testing." + }, + { + "name": "assessment-objective", + "id": "VPM-07.1_VPM-07.1_A01", + "prose": "an independent penetration testing agent or team is employed to perform penetration testing on the system or system components." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:set-02" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:set-03" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:set-04" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ca-8-1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ca-08-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53b-r5-high:ca-08-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ca-08-01" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:ca-08-01" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.4.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.4.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_11.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_11.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_11.4.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:_11.4.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:_11.4.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_11.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_11.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_11.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_11.4.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.4.5" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.4.6" + }, + { + "rel": "part-of", + "href": "#VPM-07" + } + ] + }, + { + "id": "VPM-08", + "title": "Technical Surveillance Countermeasures Security", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.32", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to utilize a technical surveillance countermeasures survey." + }, + { + "name": "assessment-objective", + "id": "VPM-08_VPM-08_A01", + "prose": "locations to employ technical surveillance countermeasure surveys are defined." + }, + { + "name": "assessment-objective", + "id": "VPM-08_VPM-08_A02", + "prose": "the frequency at which to employ technical surveillance countermeasure surveys is defined." + }, + { + "name": "assessment-objective", + "id": "VPM-08_VPM-08_A03", + "prose": "events or indicators which, if they occur, trigger a technical surveillance countermeasures survey are defined." + }, + { + "name": "assessment-objective", + "id": "VPM-08_VPM-08_A04", + "prose": "a technical surveillance countermeasures survey is employed at locations per organization-defined criteria." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:sws-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ra-6" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ra-06" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ra-06" + } + ] + }, + { + "id": "VPM-09", + "title": "Reviewing Vulnerability Scanner Usage", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to monitor logs associated with scanning activities and associated administrator accounts to ensure that those activities are limited to the timeframes of legitimate scans." + }, + { + "name": "assessment-objective", + "id": "VPM-09_VPM-09_A01", + "prose": "logs associated with scanning activities are monitored to ensure that those activities are limited to the timeframes of legitimate scans." + }, + { + "name": "assessment-objective", + "id": "VPM-09_VPM-09_A02", + "prose": "logs associated with administrator accounts are monitored to ensure that those activities are limited to the timeframes of legitimate scans." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + } + ] + }, + { + "id": "VPM-10", + "title": "Red Team Exercises", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "VPM-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.39", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-2", + "value": "R-SA-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.23", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.24", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.25", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.26", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.27", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.28", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.29", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.30", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.31", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-1", + "value": "NT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-2", + "value": "NT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-3", + "value": "NT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-4", + "value": "NT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-5", + "value": "NT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-6", + "value": "NT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-8", + "value": "NT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-9", + "value": "NT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-10", + "value": "NT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-11", + "value": "NT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-12", + "value": "NT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-13", + "value": "NT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-14", + "value": "NT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-3", + "value": "MT-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-4", + "value": "MT-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-5", + "value": "MT-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-6", + "value": "MT-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to utilize \"red team\" exercises to simulate attempts by adversaries to compromise Technology Assets, Applications and/or Services (TAAS) in accordance with organization-defined rules of engagement." + }, + { + "name": "assessment-objective", + "id": "VPM-10_VPM-10_A01", + "prose": "red team exercises to simulate attempts by adversaries to compromise organizational systems are defined." + }, + { + "name": "assessment-objective", + "id": "VPM-10_VPM-10_A02", + "prose": "organization-defined red team exercises are employed to simulate attempts by adversaries to compromise organizational systems in accordance with applicable rules of engagement." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#csa-iot-scf-2:set-03" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:mp-5.1-005" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-1.1-008" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-1.3-002" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-2.7-007" + }, + { + "rel": "mapped-to", + "href": "#nist-ai-600-1:ms-2.10-001" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:ca-8-2" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:ca-08-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:ca-08-02" + }, + { + "rel": "mapped-to", + "href": "#nist-800-160-vol2-r1:ca-08-02" + } + ] + } + ] + }, + { + "id": "web-security", + "title": "Web Security", + "controls": [ + { + "id": "WEB-01", + "title": "Web Security", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "WEB-01" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.38", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.16", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.17", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.18", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.19", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.20", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.21", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.22", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-16", + "value": "MT-16" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-17", + "value": "MT-17" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-18", + "value": "MT-18" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-19", + "value": "MT-19" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-20", + "value": "MT-20" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-21", + "value": "MT-21" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-22", + "value": "MT-22" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-23", + "value": "MT-23" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to facilitate the implementation of an enterprise-wide web management policy, as well as associated standards, controls and procedures." + }, + { + "name": "assessment-objective", + "id": "WEB-01_WEB-01_A01", + "prose": "an enterprise-wide web management policy, as well as associated standards, controls and procedures exists." + }, + { + "name": "assessment-objective", + "id": "WEB-01_WEB-01_A02", + "prose": "web security operations are conducted according to documented policies, standards, procedures and/or other organizational directives." + }, + { + "name": "assessment-objective", + "id": "WEB-01_WEB-01_A03", + "prose": "adequate resources (e.g., people, processes, technologies, data and/or facilities) are provided to support web security operations." + }, + { + "name": "assessment-objective", + "id": "WEB-01_WEB-01_A04", + "prose": "responsibility and authority for the performance of web security-related activities are assigned to designated personnel." + }, + { + "name": "assessment-objective", + "id": "WEB-01_WEB-01_A05", + "prose": "personnel performing web security-related activities have the skills and knowledge needed to perform their assigned duties." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:govern" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.1.22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.22.a" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_6.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_6.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.4.2" + } + ] + }, + { + "id": "WEB-01.1", + "title": "Unauthorized Code", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to prevent unauthorized code from being present in a secure page as it is rendered in a client’s browser." + }, + { + "name": "assessment-objective", + "id": "WEB-01.1_WEB-01.1_A01", + "prose": "a capability exists to review secure pages for unauthorized code." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_6.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_6.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.4.3" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.4.3" + }, + { + "rel": "part-of", + "href": "#WEB-01" + } + ] + }, + { + "id": "WEB-02", + "title": "Use of Demilitarized Zones (DMZ)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to utilize a Demilitarized Zone (DMZ) to restrict inbound traffic to authorized Technology Assets, Applications and/or Services (TAAS) on certain services, protocols and ports." + }, + { + "name": "assessment-objective", + "id": "WEB-02_WEB-02_A01", + "prose": "a Demilitarized Zone (DMZ) architecture is utilized for Internet-facing technologies to restrict inbound traffic to authorized devices on certain services, protocols and ports." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#iso-27002-2022:_8.22" + }, + { + "rel": "mapped-to", + "href": "#iso-27017-2015:_13.1.3" + }, + { + "rel": "mapped-to", + "href": "#iso-27018-2025:_8.22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.1.22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.22-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.22-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.22-c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.22-d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.22-e" + } + ] + }, + { + "id": "WEB-03", + "title": "Web Application Firewall (WAF)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to deploy Web Application Firewalls (WAFs) to provide defense-in-depth protection for application-specific threats." + }, + { + "name": "assessment-objective", + "id": "WEB-03_WEB-03_A01", + "prose": "a Web Application Firewalls (WAFs) is utilized for Internet-facing technologies to protect against application-specific threats." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_4.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_13.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig1:_4.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_4.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_4.4" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_13.1" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r4:sc-7-17" + }, + { + "rel": "mapped-to", + "href": "#nist-800-53-r5:sc-07-17" + }, + { + "rel": "mapped-to", + "href": "#nist-800-82-r3:sc-07-17" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.4" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_6.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_6.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_6.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_6.4.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.4.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_6.4.2" + } + ] + }, + { + "id": "WEB-04", + "title": "Client-Facing Web Services", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to deploy reasonably-expected security, compliance and resilience controls to protect the confidentiality and availability of client data that is stored, transmitted or processed by the Internet-based service." + }, + { + "name": "assessment-objective", + "id": "WEB-04_WEB-04_A01", + "prose": "a capability exists to protect the confidentiality and availability of client data that is stored, transmitted or processed by the Internet-based service." + }, + { + "name": "overview", + "class": "errata", + "prose": "- wordsmithed" + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r2:_3.1.22" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.22-a" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.22-b" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.22-c" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.22-d" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171a:_3.1.22-e" + } + ] + }, + { + "id": "WEB-05", + "title": "Cookie Management", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to provide individuals with clear and precise information about cookies, in accordance with applicable legal requirements for cookie management." + }, + { + "name": "assessment-objective", + "id": "WEB-05_WEB-05_A01", + "prose": "data subjects are provided with clear and precise information about cookies, in accordance with applicable legal requirements for cookie management." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + } + ] + }, + { + "id": "WEB-06", + "title": "Strong Customer Authentication (SCA)", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "WEB-06" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.15", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-10", + "value": "MT-10" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to implement Strong Customer Authentication (SCA) for consumers to reasonably prove their identity." + }, + { + "name": "assessment-objective", + "id": "WEB-06_WEB-06_A01", + "prose": "Strong Customer Authentication (SCA) is utilized for consumers and/or data subjects to prove their identity." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:iam-01" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:iam-13" + }, + { + "rel": "mapped-to", + "href": "#csa-ccm-4.1.0:iam-14" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_8.3.10" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_8.3.10" + } + ] + }, + { + "id": "WEB-07", + "title": "Web Security Standard", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure the Open Web Application Security Project (OWASP) Application Security Verification Standard is incorporated into the organization's Secure Systems Development Lifecycle (SSDLC) process." + }, + { + "name": "assessment-objective", + "id": "WEB-07_WEB-07_A01", + "prose": "the Open Web Application Security Project (OWASP) Application Security Verification Standard is incorporated into the organization's Secure Systems Development Lifecycle (SSDLC) process." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_16.0" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_16.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_16.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_16.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_16.7" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_16.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_16.7" + } + ] + }, + { + "id": "WEB-08", + "title": "Web Application Framework", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure a robust Web Application Framework is used to aid in the development of secure web applications, including web services, web resources and web APIs." + }, + { + "name": "assessment-objective", + "id": "WEB-08_WEB-08_A01", + "prose": "a robust Web Application Framework is used to aid in the development of secure web applications, including web services, web resources and web APIs." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_16.0" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1:_16.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig2:_16.1" + }, + { + "rel": "mapped-to", + "href": "#cis-csc-8.1-ig3:_16.1" + } + ] + }, + { + "id": "WEB-09", + "title": "Validation & Sanitization", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure all input handled by a web application is validated and/or sanitized." + }, + { + "name": "assessment-objective", + "id": "WEB-09_WEB-09_A01", + "prose": "all input handled by a web application is validated and/or sanitized." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + } + ] + }, + { + "id": "WEB-10", + "title": "Secure Web Traffic", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure all web application content is delivered using cryptographic mechanisms (e.g., TLS)." + }, + { + "name": "assessment-objective", + "id": "WEB-10_WEB-10_A01", + "prose": "all web application content is delivered using cryptographic mechanisms (e.g., TLS)." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:a2.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:a2.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:a2.1.2" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-b-ip:a2.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-c:a2.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:a2.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:a2.1.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:a2.1.2" + } + ] + }, + { + "id": "WEB-11", + "title": "Output Encoding", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure output encoding is performed on all content produced by a web application to reduce the likelihood of cross-site scripting and other injection attacks." + }, + { + "name": "assessment-objective", + "id": "WEB-11_WEB-11_A01", + "prose": "output encoding is performed on all content produced by a web application to reduce the likelihood of cross-site scripting and other injection attacks." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + } + ] + }, + { + "id": "WEB-12", + "title": "Web Browser Security", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.13", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.14", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-2", + "value": "MT-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-7", + "value": "MT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to ensure web applications implement Content-Security-Policy, HSTS and X-Frame-Options response headers to protect both the web application and its users." + }, + { + "name": "assessment-objective", + "id": "WEB-12_WEB-12_A01", + "prose": "web applications implement Content-Security-Policy, HSTS and X-Frame-Options response headers to protect both the web application and its users." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:protect" + } + ] + }, + { + "id": "WEB-13", + "title": "Website Change Detection", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.18", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.19", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.20", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.21", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.22", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.23", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.24", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.25", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.26", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.27", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.28", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.29", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.30", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.31", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.32", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.33", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.34", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.35", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.36", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.37", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-1", + "value": "R-AC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-2", + "value": "R-AC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-3", + "value": "R-AC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-1", + "value": "R-AM-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-2", + "value": "R-AM-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-am-3", + "value": "R-AM-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-1", + "value": "R-BC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-2", + "value": "R-BC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-3", + "value": "R-BC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-4", + "value": "R-BC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-bc-5", + "value": "R-BC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-2", + "value": "R-GV-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-3", + "value": "R-GV-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-5", + "value": "R-GV-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-7", + "value": "R-GV-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-1", + "value": "R-SC-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-2", + "value": "R-SC-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-3", + "value": "R-SC-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-4", + "value": "R-SC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-5", + "value": "R-SC-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sc-6", + "value": "R-SC-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to detect and respond to Indicators of Compromise (IoC) for unauthorized alterations, additions, deletions or changes on websites that store, process and/or transmit sensitive/regulated data." + }, + { + "name": "assessment-objective", + "id": "WEB-13_WEB-13_A01", + "prose": "Indicators of Compromise (IoC) include unauthorized alterations, additions, deletions or changes on websites that store, process and/or transmit sensitive / regulated data." + }, + { + "name": "assessment-objective", + "id": "WEB-13_WEB-13_A02", + "prose": "a capability exists to monitor for web-based IoC triggers." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:detect" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.6" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1:_11.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a:_11.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-a-ep:_11.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-merchant:_11.6.1" + }, + { + "rel": "mapped-to", + "href": "#pci-dss-4.0.1-saq-d-service-provider:_11.6.1" + } + ] + }, + { + "id": "WEB-14", + "title": "Publicly Accessible Content Reviews", + "props": [ + { + "ns": "https://scfconnect.com/oscal", + "name": "weight", + "value": "7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.scf-core-esp-level-3-advanced-threats", + "value": "WEB-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.1", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.2", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.3", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.4", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.5", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.6", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.7", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.8", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.9", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.10", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.11", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.12", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.13", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.14", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.15", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.16", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-threat-summary.17", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ac-4", + "value": "R-AC-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-1", + "value": "R-EX-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-2", + "value": "R-EX-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-3", + "value": "R-EX-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-4", + "value": "R-EX-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-5", + "value": "R-EX-5" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-6", + "value": "R-EX-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ex-7", + "value": "R-EX-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-1", + "value": "R-GV-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-4", + "value": "R-GV-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-6", + "value": "R-GV-6" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-gv-8", + "value": "R-GV-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-1", + "value": "R-IR-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-2", + "value": "R-IR-2" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-3", + "value": "R-IR-3" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-ir-4", + "value": "R-IR-4" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.risk-r-sa-1", + "value": "R-SA-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.1", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.2", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.3", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.4", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.5", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.6", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.7", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.8", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.9", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.10", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.11", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.control-threat-summary.12", + "value": "MT-27" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-nt-7", + "value": "NT-7" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-1", + "value": "MT-1" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-8", + "value": "MT-8" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-9", + "value": "MT-9" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-11", + "value": "MT-11" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-12", + "value": "MT-12" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-13", + "value": "MT-13" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-14", + "value": "MT-14" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-15", + "value": "MT-15" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-24", + "value": "MT-24" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-25", + "value": "MT-25" + }, + { + "ns": "https://scfconnect.com/oscal", + "name": "risk-threat.threat-mt-27", + "value": "MT-27" + } + ], + "parts": [ + { + "name": "statement", + "prose": "Mechanisms exist to routinely review the content on publicly accessible systems for sensitive/regulated data and remove such information, if discovered." + }, + { + "name": "assessment-objective", + "id": "WEB-14_WEB-14_A01", + "prose": "the scope of publicly accessible systems is defined." + }, + { + "name": "assessment-objective", + "id": "WEB-14_WEB-14_A02", + "prose": "publicly accessible systems containing sensitive / regulated data are identified." + }, + { + "name": "assessment-objective", + "id": "WEB-14_WEB-14_A03", + "prose": "a capability exists to routinely review the content on publicly accessible systems for sensitive / regulated data and remove such information, if discovered." + }, + { + "name": "assessment-objective", + "id": "WEB-14_WEB-14_A04", + "prose": "a capability exists to expeditiously remove sensitive / regulated data from publicly accessible systems, if discovered." + } + ], + "links": [ + { + "rel": "mapped-to", + "href": "#nist-csf-function-grouping:identify" + }, + { + "rel": "mapped-to", + "href": "#nist-800-171-r3:_03.01.22.b" + } + ] + } + ] + } + ] + } +} \ No newline at end of file diff --git a/vulndb/compliance/SCF_License.md b/vulndb/compliance/SCF_License.md new file mode 100644 index 000000000..fe28cd092 --- /dev/null +++ b/vulndb/compliance/SCF_License.md @@ -0,0 +1,28 @@ +# Legal Notice for DevGuard Users + +DevGuard includes control data from the Secure Controls Framework® (SCF), created and maintained by the SCF Council. The SCF is used here to power DevGuard's compliance posture features. + +This SCF content is **not** covered by DevGuard's own AGPL license. It remains licensed separately by the SCF Council under the Creative Commons Attribution-NoDerivatives 4.0 International Public License (CC BY-ND 4.0), and that license continues to apply in full to the SCF content as distributed with DevGuard. Per the NoDerivatives term, the SCF content included here has not been modified, remixed, or transformed. + +Attribution: SCF controls are used in DevGuard. The Secure Controls Framework® (SCF) is a trademark of the SCF Council; all rights not expressly granted are reserved by the SCF Council. + +The original SCF Terms & Conditions and EULA are reproduced below for reference. + +## Terms & Conditions + +The SCF End User License Agreement (EULA) governs the use of the Secure Controls Framework® (SCF) under the Creative Commons Attribution-NoDerivatives 4.0 International Public License. + +### Secure Controls Framework® (SCF) - End User License Agreement (EULA) + +We are committed to keeping the SCF a free resource for organizations to use. Therefore, we use the Creative Commons Attribution-NoDerivatives 4.0 International Public License to maintain the integrity of the SCF, while protecting the Intellectual Property (IP) of the SCF Council. + +Under the SCF's Terms and Conditions (T&C): + +**Attribution** +You must give appropriate credit, provide a link to the license and indicate if changes were made. You may do so in any reasonable manner, but not in any way that suggests the licensor endorses you or your use. Providing attribution is as simple as stating SCF controls are used in the solution, such as a GRC platform that includes SCF content is required to provide attribution that SCF controls are used. + +**NoDerivatives** +If you remix, transform, or build upon the material, you may not distribute the modified material. For example, you are prohibited from leveraging SCF material to create a derivative solution (e.g., SCF 2.0). This prohibition on creating derivative works includes utilizing Artificial Intelligence (AI) (or similar technologies) to leverage SCF content to generate policies, standards, procedures, metrics, risks, threats or other derivative content. An organization needs to purchase a commercial license to offer derivative SCF content. + +- https://securecontrolsframework.com/terms-and-conditions +- https://creativecommons.org/licenses/by-nd/4.0/legalcode.en diff --git a/vulndb/compliance/grundschutz_service.go b/vulndb/compliance/grundschutz_service.go index 70bf23808..3cdd588b5 100644 --- a/vulndb/compliance/grundschutz_service.go +++ b/vulndb/compliance/grundschutz_service.go @@ -3,6 +3,12 @@ package vulndb import ( "bytes" _ "embed" + "encoding/csv" + "fmt" + "io" + "net/http" + "strings" + "sync" oscalTypes "github.com/defenseunicorns/go-oscal/src/types/oscal-1-1-3" "github.com/l3montree-dev/devguard/database/models" @@ -11,17 +17,19 @@ import ( //go:embed Grundschutz++-catalog.json var grundschutzCatalogJSON []byte -func grundschutzAdditionalMapper(groupTitle *string, controlProps *[]oscalTypes.Property, parts []oscalTypes.Part) map[string]interface{} { - additional := make(map[string]interface{}) +func grundschutzAdditionalMapper(groupTitle *string, controlProps *[]oscalTypes.Property, parts []oscalTypes.Part) map[string]any { + additional := make(map[string]any) if groupTitle != nil { additional["group_title"] = *groupTitle } for _, prop := range derefProps(controlProps) { switch prop.Name { case "sec_level": - additional["security_level"] = prop + additional["security_level"] = enrichProp(prop) case "effort_level": - additional["effort_level"] = prop + additional["effort_level"] = enrichProp(prop) + case "tags": + additional["tags"] = enrichProp(prop) } } @@ -33,16 +41,19 @@ func grundschutzAdditionalMapper(groupTitle *string, controlProps *[]oscalTypes. for _, prop := range derefProps(p.Props) { switch prop.Name { case "modal_verb": - additional["importance"] = prop + additional["importance"] = enrichProp(prop) case "action_word": - additional["word_definition"] = prop + additional["word_definition"] = enrichProp(prop) case "result": - additional["result"] = prop + additional["result"] = enrichProp(prop) case "result_specification": - additional["result_specification"] = prop + additional["result_specification"] = enrichProp(prop) + case "documentation": + additional["documentation"] = enrichProp(prop) } } } + } return additional } @@ -52,5 +63,106 @@ func LoadGrundschutzControls() ([]models.FrameworkControl, error) { if err != nil { return nil, err } + fmt.Println("Loaded Grundschutz++ catalog") return ExtractControlsFromCatalog(catalog, "Grundschutz++", grundschutzAdditionalMapper), nil } + +type newProperty struct { + oscalTypes.Property + Definitions map[string]string `json:"definitions"` +} + +var ( + csvCacheMu sync.Mutex + csvCache = make(map[string][][]string) +) + +// fetchCSVRecords fetches and parses the CSV at rawURL, caching the result so +// the same URL is only fetched once per process. +func fetchCSVRecords(rawURL string) ([][]string, error) { + csvCacheMu.Lock() + if records, ok := csvCache[rawURL]; ok { + csvCacheMu.Unlock() + return records, nil + } + csvCacheMu.Unlock() + + resp, err := http.Get(rawURL) + if err != nil { + return nil, err + } + defer resp.Body.Close() + + if resp.StatusCode != http.StatusOK { + return nil, fmt.Errorf("unexpected status code %d for %s", resp.StatusCode, rawURL) + } + + body, err := io.ReadAll(resp.Body) + if err != nil { + return nil, err + } + + reader := csv.NewReader(bytes.NewReader(body)) + records, err := reader.ReadAll() + if err != nil { + return nil, err + } + + csvCacheMu.Lock() + csvCache[rawURL] = records + csvCacheMu.Unlock() + + return records, nil +} + +func enrichProp(prop oscalTypes.Property) any { + var newProp newProperty + newProp.Property = prop + newProp.Definitions = make(map[string]string) + + words := strings.Split(newProp.Value, ",") + if newProp.Ns == "" || len(words) == 0 { + return newProp + } + + rawURL := toRawGithubURL(newProp.Ns) + + records, err := fetchCSVRecords(rawURL) + if err != nil { + return newProp + } + if len(records) == 0 || len(records[0]) < 2 { + return newProp + } + + definitionCol := 1 + for i, header := range records[0] { + if strings.EqualFold(strings.TrimSpace(header), "Definition") { + definitionCol = i + break + } + } + + for _, record := range records[1:] { + if len(record) <= definitionCol { + continue + } + for _, word := range words { + if strings.EqualFold(strings.TrimSpace(record[0]), strings.TrimSpace(word)) { + newProp.Definitions[word] = record[definitionCol] + } + } + } + + return newProp +} + +// toRawGithubURL converts a github.com "blob" URL into its raw.githubusercontent.com equivalent. +func toRawGithubURL(url string) string { + if strings.Contains(url, "raw.githubusercontent.com") { + return url + } + rawURL := strings.Replace(url, "github.com", "raw.githubusercontent.com", 1) + rawURL = strings.Replace(rawURL, "/tree/", "/refs/heads/", 1) + return rawURL +} diff --git a/vulndb/compliance/oscal_insert.go b/vulndb/compliance/oscal_insert.go new file mode 100644 index 000000000..6ebdb285a --- /dev/null +++ b/vulndb/compliance/oscal_insert.go @@ -0,0 +1,139 @@ +// Copyright (C) 2026 l3montree GmbH +// +// This program is free software: you can redistribute it and/or modify +// it under the terms of the GNU Affero General Public License as +// published by the Free Software Foundation, either version 3 of the +// License, or (at your option) any later version. +// +// This program is distributed in the hope that it will be useful, +// but WITHOUT ANY WARRANTY; without even the implied warranty of +// MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the +// GNU Affero General Public License for more details. +// +// You should have received a copy of the GNU Affero General Public License +// along with this program. If not, see . + +package vulndb + +import ( + "regexp" + "strings" + + oscalTypes "github.com/defenseunicorns/go-oscal/src/types/oscal-1-1-3" +) + +// insertPattern matches OSCAL markup insert spans, e.g. "{{ insert: param, arch.2.2-prm1 }}". +// The first group is the insert type (param, title, prop, link, ...), the second is the id-ref +var insertPattern = regexp.MustCompile(`\{\{\s*insert:\s*([a-zA-Z][a-zA-Z0-9_-]*)\s*,\s*([^}]+?)\s*\}\}`) + +type InsertResolverFunc func(idRef string, ctx *ResolveContext) (string, bool) + +type ResolveContext struct { + Params map[string]oscalTypes.Parameter + Controls map[string]oscalTypes.Control + Groups map[string]oscalTypes.Group +} + +func NewResolveContext(catalog *oscalTypes.Catalog) *ResolveContext { + ctx := &ResolveContext{ + Params: map[string]oscalTypes.Parameter{}, + Controls: map[string]oscalTypes.Control{}, + Groups: map[string]oscalTypes.Group{}, + } + if catalog == nil { + return ctx + } + + indexParams(ctx, catalog.Params) + for _, g := range derefGroups(catalog.Groups) { + indexGroup(ctx, g) + } + for _, c := range derefControls(catalog.Controls) { + indexControl(ctx, c) + } + return ctx +} + +func indexGroup(ctx *ResolveContext, g oscalTypes.Group) { + if g.ID != "" { + ctx.Groups[g.ID] = g + } + indexParams(ctx, g.Params) + for _, c := range derefControls(g.Controls) { + indexControl(ctx, c) + } + for _, sub := range derefGroups(g.Groups) { + indexGroup(ctx, sub) + } +} + +func indexControl(ctx *ResolveContext, c oscalTypes.Control) { + if c.ID != "" { + ctx.Controls[c.ID] = c + } + indexParams(ctx, c.Params) + for _, sub := range derefControls(c.Controls) { + indexControl(ctx, sub) + } +} + +func indexParams(ctx *ResolveContext, params *[]oscalTypes.Parameter) { + if params == nil { + return + } + for _, p := range *params { + ctx.Params[p.ID] = p + } +} + +var insertResolvers = map[string]InsertResolverFunc{ + "param": resolveParamInsert, +} + +func RegisterInsertResolver(insertType string, resolver InsertResolverFunc) { + insertResolvers[insertType] = resolver +} + +func resolveParamInsert(idRef string, ctx *ResolveContext) (string, bool) { + param, ok := ctx.Params[idRef] + if !ok { + return "", false + } + + switch { + case param.Values != nil && len(*param.Values) > 0: + return strings.Join(*param.Values, ", "), true + case param.Select != nil && param.Select.Choice != nil && len(*param.Select.Choice) > 0: + return strings.Join(*param.Select.Choice, ", "), true + case param.Label != "": + return param.Label, true + default: + return "", false + } +} + +func ResolveInserts(prose string, ctx *ResolveContext) string { + if ctx == nil || !strings.Contains(prose, "insert:") { + return prose + } + + return insertPattern.ReplaceAllStringFunc(prose, func(match string) string { + groups := insertPattern.FindStringSubmatch(match) + if len(groups) != 3 { + return match + } + insertType := groups[1] + idRef := groups[2] + + resolver, ok := insertResolvers[insertType] + if !ok { + return match + } + + resolved, ok := resolver(idRef, ctx) + if !ok { + return match + } + return resolved + }) +} diff --git a/vulndb/compliance/oscal_insert_test.go b/vulndb/compliance/oscal_insert_test.go new file mode 100644 index 000000000..5f1465102 --- /dev/null +++ b/vulndb/compliance/oscal_insert_test.go @@ -0,0 +1,172 @@ +// Copyright (C) 2026 l3montree GmbH +// +// This program is free software: you can redistribute it and/or modify +// it under the terms of the GNU Affero General Public License as +// published by the Free Software Foundation, either version 3 of the +// License, or (at your option) any later version. +// +// This program is distributed in the hope that it will be useful, +// but WITHOUT ANY WARRANTY; without even the implied warranty of +// MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the +// GNU Affero General Public License for more details. +// +// You should have received a copy of the GNU Affero General Public License +// along with this program. If not, see . + +package vulndb + +import ( + "testing" + + oscalTypes "github.com/defenseunicorns/go-oscal/src/types/oscal-1-1-3" + "github.com/stretchr/testify/assert" +) + +func paramWithValues(id string, values ...string) oscalTypes.Parameter { + return oscalTypes.Parameter{ID: id, Values: &values} +} + +func paramWithSelect(id string, choices ...string) oscalTypes.Parameter { + return oscalTypes.Parameter{ID: id, Select: &oscalTypes.ParameterSelection{Choice: &choices}} +} + +func paramWithLabel(id, label string) oscalTypes.Parameter { + return oscalTypes.Parameter{ID: id, Label: label} +} + +func TestResolveInserts_Param(t *testing.T) { + t.Run("resolves from Values", func(t *testing.T) { + ctx := &ResolveContext{Params: map[string]oscalTypes.Parameter{ + "arch.2.2-prm1": paramWithValues("arch.2.2-prm1", "Gerätetyp"), + }} + got := ResolveInserts("Einschränken anhand von {{ insert: param, arch.2.2-prm1 }}.", ctx) + assert.Equal(t, "Einschränken anhand von Gerätetyp.", got) + }) + + t.Run("joins multiple Values", func(t *testing.T) { + ctx := &ResolveContext{Params: map[string]oscalTypes.Parameter{ + "p1": paramWithValues("p1", "Gerätetyp", "Benutzerrolle"), + }} + got := ResolveInserts("{{ insert: param, p1 }}", ctx) + assert.Equal(t, "Gerätetyp, Benutzerrolle", got) + }) + + t.Run("falls back to Select.Choice when no Values", func(t *testing.T) { + ctx := &ResolveContext{Params: map[string]oscalTypes.Parameter{ + "p1": paramWithSelect("p1", "jährlich", "quartalsweise"), + }} + got := ResolveInserts("{{ insert: param, p1 }}", ctx) + assert.Equal(t, "jährlich, quartalsweise", got) + }) + + t.Run("falls back to Label when no Values or Select", func(t *testing.T) { + ctx := &ResolveContext{Params: map[string]oscalTypes.Parameter{ + "p1": paramWithLabel("p1", "Kriterien"), + }} + got := ResolveInserts("{{ insert: param, p1 }}", ctx) + assert.Equal(t, "Kriterien", got) + }) + + t.Run("leaves span untouched when param is unknown", func(t *testing.T) { + ctx := &ResolveContext{Params: map[string]oscalTypes.Parameter{}} + prose := "Text mit {{ insert: param, does-not-exist }} Platzhalter." + got := ResolveInserts(prose, ctx) + assert.Equal(t, prose, got) + }) + + t.Run("resolves multiple distinct inserts in the same prose", func(t *testing.T) { + ctx := &ResolveContext{Params: map[string]oscalTypes.Parameter{ + "p1": paramWithLabel("p1", "A"), + "p2": paramWithLabel("p2", "B"), + }} + got := ResolveInserts("{{ insert: param, p1 }} und {{ insert: param, p2 }}", ctx) + assert.Equal(t, "A und B", got) + }) + + t.Run("returns prose unchanged when there is no insert markup", func(t *testing.T) { + ctx := &ResolveContext{Params: map[string]oscalTypes.Parameter{}} + prose := "Ganz normaler Text ohne Platzhalter." + got := ResolveInserts(prose, ctx) + assert.Equal(t, prose, got) + }) + + t.Run("nil context returns prose unchanged", func(t *testing.T) { + prose := "{{ insert: param, p1 }}" + got := ResolveInserts(prose, nil) + assert.Equal(t, prose, got) + }) +} + +func TestResolveInserts_UnknownType(t *testing.T) { + ctx := &ResolveContext{Params: map[string]oscalTypes.Parameter{}} + prose := "Siehe {{ insert: title, some-control-id }} für Details." + got := ResolveInserts(prose, ctx) + assert.Equal(t, prose, got, "unregistered insert types should be left untouched") +} + +func TestRegisterInsertResolver(t *testing.T) { + RegisterInsertResolver("title", func(idRef string, ctx *ResolveContext) (string, bool) { + c, ok := ctx.Controls[idRef] + if !ok { + return "", false + } + return c.Title, true + }) + t.Cleanup(func() { delete(insertResolvers, "title") }) + + ctx := &ResolveContext{Controls: map[string]oscalTypes.Control{ + "ARCH.2.2.1": {ID: "ARCH.2.2.1", Title: "Externe Netzanschlüsse"}, + }} + got := ResolveInserts("Siehe {{ insert: title, ARCH.2.2.1 }}.", ctx) + assert.Equal(t, "Siehe Externe Netzanschlüsse.", got) +} + +func TestNewResolveContext(t *testing.T) { + catalog := &oscalTypes.Catalog{ + Params: &[]oscalTypes.Parameter{paramWithLabel("top-prm", "Top Level")}, + Groups: &[]oscalTypes.Group{ + { + ID: "GRP.1", + Title: "Gruppe 1", + Params: &[]oscalTypes.Parameter{paramWithLabel("grp-prm", "Group Level")}, + Controls: &[]oscalTypes.Control{ + { + ID: "GRP.1.1", + Title: "Control 1", + Params: &[]oscalTypes.Parameter{paramWithLabel("ctl-prm", "Control Level")}, + Controls: &[]oscalTypes.Control{ + {ID: "GRP.1.1.1", Title: "Nested Control"}, + }, + }, + }, + Groups: &[]oscalTypes.Group{ + {ID: "GRP.1.2", Title: "Nested Group"}, + }, + }, + }, + Controls: &[]oscalTypes.Control{ + {ID: "TOP.1", Title: "Top Level Control"}, + }, + } + + ctx := NewResolveContext(catalog) + + assert.Contains(t, ctx.Params, "top-prm") + assert.Contains(t, ctx.Params, "grp-prm") + assert.Contains(t, ctx.Params, "ctl-prm") + + assert.Contains(t, ctx.Groups, "GRP.1") + assert.Contains(t, ctx.Groups, "GRP.1.2") + + assert.Contains(t, ctx.Controls, "GRP.1.1") + assert.Contains(t, ctx.Controls, "GRP.1.1.1") + assert.Contains(t, ctx.Controls, "TOP.1") +} + +func TestNewResolveContext_NilCatalog(t *testing.T) { + ctx := NewResolveContext(nil) + assert.NotNil(t, ctx) + assert.Empty(t, ctx.Params) + assert.Empty(t, ctx.Controls) + assert.Empty(t, ctx.Groups) +} diff --git a/vulndb/compliance/oscal_service.go b/vulndb/compliance/oscal_service.go index 73dee910a..ec20b3361 100644 --- a/vulndb/compliance/oscal_service.go +++ b/vulndb/compliance/oscal_service.go @@ -19,13 +19,14 @@ import ( "encoding/json" "fmt" "io" + "strings" oscalTypes "github.com/defenseunicorns/go-oscal/src/types/oscal-1-1-3" "github.com/l3montree-dev/devguard/database/models" "gorm.io/datatypes" ) -type AdditionalMapper func(groupTitle *string, controlProps *[]oscalTypes.Property, parts []oscalTypes.Part) map[string]interface{} +type AdditionalMapper func(groupTitle *string, controlProps *[]oscalTypes.Property, parts []oscalTypes.Part) map[string]any func mustMarshalJSON(v any) datatypes.JSON { b, _ := json.Marshal(v) @@ -51,28 +52,72 @@ func ParseOSCALCatalog(r io.Reader) (*oscalTypes.Catalog, error) { } func ExtractControlsFromCatalog(catalog *oscalTypes.Catalog, frameworkName string, mapper AdditionalMapper) []models.FrameworkControl { + ctx := NewResolveContext(catalog) + var controls []models.FrameworkControl for _, g := range derefGroups(catalog.Groups) { - controls = append(controls, extractFromGroup(g, frameworkName, mapper)...) + controls = append(controls, extractFromGroup(nil, g, frameworkName, mapper, ctx)...) } for _, c := range derefControls(catalog.Controls) { - controls = append(controls, controlToFrameworkControl(c, nil, nil, frameworkName, mapper)...) + controls = append(controls, controlToFrameworkControl(c, nil, nil, frameworkName, mapper, ctx)...) } return controls } -func extractFromGroup(g oscalTypes.Group, frameworkName string, mapper AdditionalMapper) []models.FrameworkControl { +func derefLinks(l *[]oscalTypes.Link) []oscalTypes.Link { + if l == nil { + return nil + } + return *l +} + +func extractMappedControls(frameworkControlID string, c oscalTypes.Control) ([]models.MappedControl, error) { + var mappedControls []models.MappedControl + + for _, link := range derefLinks(c.Links) { + if link.Rel == "mapped-to" { + relatedControlID := link.Href + if relatedControlID == "" { + return nil, fmt.Errorf("mapped-to link missing href for control %s", c.ID) + } + + //parse the related control ID to extract the framework and control ID + parts := strings.SplitN(relatedControlID, ":", 2) + if len(parts) != 2 { + return nil, fmt.Errorf("invalid mapped-to link href format for control %s: %s", c.ID, relatedControlID) + } + relatedFramework := parts[0] + relatedControlID = parts[1] + relatedFramework = strings.TrimPrefix(relatedFramework, "#") + mappedControls = append(mappedControls, models.MappedControl{ + FrameworkControlID: frameworkControlID, + RelatedFramework: relatedFramework, + RelatedControlID: relatedControlID, + }) + } + } + + return mappedControls, nil +} + +func extractFromGroup(parentGroupTitle *string, g oscalTypes.Group, frameworkName string, mapper AdditionalMapper, ctx *ResolveContext) []models.FrameworkControl { + groupTitle := &g.Title + if parentGroupTitle != nil { + combined := fmt.Sprintf("%s / %s", *parentGroupTitle, *groupTitle) + groupTitle = &combined + } + var controls []models.FrameworkControl for _, c := range derefControls(g.Controls) { - controls = append(controls, controlToFrameworkControl(c, nil, &g.Title, frameworkName, mapper)...) + controls = append(controls, controlToFrameworkControl(c, nil, groupTitle, frameworkName, mapper, ctx)...) } for _, sub := range derefGroups(g.Groups) { - controls = append(controls, extractFromGroup(sub, frameworkName, mapper)...) + controls = append(controls, extractFromGroup(groupTitle, sub, frameworkName, mapper, ctx)...) } return controls } -func controlToFrameworkControl(c oscalTypes.Control, parentControlID *string, groupTitle *string, frameworkName string, mapper AdditionalMapper) []models.FrameworkControl { +func controlToFrameworkControl(c oscalTypes.Control, parentControlID *string, groupTitle *string, frameworkName string, mapper AdditionalMapper, ctx *ResolveContext) []models.FrameworkControl { parts := derefParts(c.Parts) // Find the statement part for the description; fall back to any part with prose. @@ -91,29 +136,56 @@ func controlToFrameworkControl(c oscalTypes.Control, parentControlID *string, gr } } } + description = ResolveInserts(description, ctx) var result []models.FrameworkControl + var additional map[string]any + if mapper != nil { + additional = mapper(groupTitle, c.Props, parts) + } + fc := models.FrameworkControl{ Framework: frameworkName, ControlID: c.ID, Title: c.Title, Class: c.Class, Description: description, - Additional: mustMarshalJSON(mapper(groupTitle, c.Props, parts)), + Importance: importanceString(additional["importance"]), + Additional: mustMarshalJSON(additional), } fc.SetID() + + mappedControls, err := extractMappedControls(fc.FrameworkControlID, c) + if err != nil { + fmt.Printf("Error extracting mapped controls for control %s: %v\n", c.ID, err) + } + fc.MappedControls = mappedControls + if parentControlID != nil { fc.ParentFrameworkControlID = parentControlID } result = append(result, fc) for _, sub := range derefControls(c.Controls) { - result = append(result, controlToFrameworkControl(sub, &c.ID, groupTitle, frameworkName, mapper)...) + result = append(result, controlToFrameworkControl(sub, &c.ID, groupTitle, frameworkName, mapper, ctx)...) } return result } +func importanceString(v any) string { + switch p := v.(type) { + case string: + return p + case newProperty: + return p.Value + case oscalTypes.Property: + return p.Value + default: + return "" + } +} + func derefGroups(g *[]oscalTypes.Group) []oscalTypes.Group { if g == nil { return nil diff --git a/vulndb/compliance/scf_service.go b/vulndb/compliance/scf_service.go new file mode 100644 index 000000000..135bd43a6 --- /dev/null +++ b/vulndb/compliance/scf_service.go @@ -0,0 +1,59 @@ +// Copyright (C) 2026 l3montree GmbH +// This program is free software: you can redistribute it and/or modify +// it under the terms of the GNU Affero General Public License as +// published by the Free Software Foundation, either version 3 of the +// License, or (at your option) any later version. +// +// This program is distributed in the hope that it will be useful, +// but WITHOUT ANY WARRANTY; without even the implied warranty of +// MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the +// GNU Affero General Public License for more details. +// +// You should have received a copy of the GNU Affero General Public License +// along with this program. If not, see . +package vulndb + +import ( + "bytes" + _ "embed" + + oscalTypes "github.com/defenseunicorns/go-oscal/src/types/oscal-1-1-3" + "github.com/l3montree-dev/devguard/database/models" +) + +//go:embed SCF.json +var scfCatalogJSON []byte + +func LoadSCFControls() ([]models.FrameworkControl, error) { + catalog, err := ParseOSCALCatalog(bytes.NewReader(scfCatalogJSON)) + if err != nil { + return nil, err + } + return ExtractControlsFromCatalog(catalog, "SCF", scfAdditionalMapper), nil +} + +func scfAdditionalMapper(groupTitle *string, controlProps *[]oscalTypes.Property, parts []oscalTypes.Part) map[string]any { + additional := make(map[string]any) + + assessmentObjective := []oscalTypes.Part{} + + if groupTitle != nil { + additional["group_title"] = *groupTitle + } + + for _, p := range parts { + if p.Name == "assessment-objective" { + assessmentObjective = append(assessmentObjective, p) + } + } + additional["assessment_objective"] = assessmentObjective + + for _, prop := range derefProps(controlProps) { + switch prop.Name { + case "weight": + additional["importance"] = prop + } + } + + return additional +} From 4b9dc01a013a8618a5749dae138eb2d86d62c56b Mon Sep 17 00:00:00 2001 From: rafi Date: Mon, 13 Jul 2026 17:16:23 +0200 Subject: [PATCH 05/16] add OSCAL download Signed-off-by: rafi --- controllers/compliance_posture_controller.go | 69 +++++++++- database/database.go | 1 + database/models/compliance_posture_model.go | 27 ++-- .../compliance_posture_repository.go | 130 +++++++++++++++--- .../framework_control_repository.go | 64 +++++++++ database/repositories/providers.go | 1 + dtos/comilance_posture_dto.go | 2 +- router/compliance_posture_router.go | 1 + router/org_router.go | 1 + router/project_router.go | 1 + services/compliance_posture_service.go | 15 +- shared/common_interfaces.go | 11 +- transformer/compliance_posture_transformer.go | 118 ++++++++++++++++ vulndb/compliance/oscal_service.go | 10 ++ 14 files changed, 409 insertions(+), 42 deletions(-) create mode 100644 database/repositories/framework_control_repository.go diff --git a/controllers/compliance_posture_controller.go b/controllers/compliance_posture_controller.go index b446d2352..4dd5b739f 100644 --- a/controllers/compliance_posture_controller.go +++ b/controllers/compliance_posture_controller.go @@ -22,18 +22,21 @@ import ( "github.com/l3montree-dev/devguard/dtos" "github.com/l3montree-dev/devguard/shared" "github.com/l3montree-dev/devguard/transformer" + vulndb "github.com/l3montree-dev/devguard/vulndb/compliance" "github.com/labstack/echo/v4" ) type CompliancePostureController struct { CompliancePostureRepository shared.CompliancePostureRepository CompliancePostureService shared.CompliancePostureService + FrameworkControlRepository shared.FrameworkControlRepository } -func NewCompliancePostureController(compliancePostureRepository shared.CompliancePostureRepository, compliancePostureService shared.CompliancePostureService) *CompliancePostureController { +func NewCompliancePostureController(compliancePostureRepository shared.CompliancePostureRepository, compliancePostureService shared.CompliancePostureService, frameworkControlRepository shared.FrameworkControlRepository) *CompliancePostureController { return &CompliancePostureController{ CompliancePostureRepository: compliancePostureRepository, CompliancePostureService: compliancePostureService, + FrameworkControlRepository: frameworkControlRepository, } } @@ -96,7 +99,7 @@ func (c *CompliancePostureController) ListPaged(ctx shared.Context) error { return err } - frameworks, err := c.CompliancePostureService.GetAllFrameworkControls(ctx.Request().Context(), nil) + frameworks, err := c.FrameworkControlRepository.ListFrameworkControls(ctx.Request().Context(), nil) if err != nil { return err } @@ -207,3 +210,65 @@ func (c *CompliancePostureController) CreateEvent(ctx shared.Context) error { return ctx.JSON(200, transformer.CompliancePostureToDTO(*compliancePostureNew)) } + +func (c *CompliancePostureController) GetOSCAL(ctx shared.Context) error { + var assetVersionName *string + var assetID *uuid.UUID + var projectID *uuid.UUID + orgID := shared.GetOrg(ctx).ID + project, err := shared.MaybeGetProject(ctx) + if err == nil { + projectID = &project.ID + asset, err := shared.MaybeGetAsset(ctx) + if err == nil { + assetID = &asset.ID + assetVersion, err := shared.MaybeGetAssetVersion(ctx) + if err == nil { + assetVersionName = &assetVersion.Name + } + } + } + + var framework *string + var filter []shared.FilterQuery + frameworkParam := ctx.QueryParam("framework") + if frameworkParam != "" { + framework = &frameworkParam + filter = append(filter, shared.FilterQuery{ + Field: "framework", + Operator: "is", + FieldValue: frameworkParam, + }) + + } + + compliancePostures, err := c.CompliancePostureService.GetAllControls(ctx.Request().Context(), nil, assetVersionName, assetID, projectID, orgID, "", filter, nil) + if err != nil { + return err + } + + //calculate the hash for each compliance posture + for i := range compliancePostures { + postureOrgID := orgID + if compliancePostures[i].OrgID != nil { + postureOrgID = *compliancePostures[i].OrgID + } + compliancePostures[i].CompliancePostureID = models.CalculateCompliancePostureHash(compliancePostures[i].FrameworkControlID, postureOrgID, compliancePostures[i].ProjectID, compliancePostures[i].AssetID, compliancePostures[i].AssetVersionName).String() + } + + frameworkControls, err := c.FrameworkControlRepository.GetAll(ctx.Request().Context(), nil, framework) + if err != nil { + return err + } + + oscal, err := transformer.ConvertCompliancePosturesToSystemSecurityPlanOSCAL(compliancePostures, frameworkControls) + if err != nil { + return err + } + + if err := vulndb.ValidateOSCAL(oscal); err != nil { + return echo.NewHTTPError(500, "OSCAL validation failed").WithInternal(err) + } + + return ctx.JSON(200, oscal) +} diff --git a/database/database.go b/database/database.go index 333d2001e..18b4f8c77 100644 --- a/database/database.go +++ b/database/database.go @@ -114,6 +114,7 @@ func NewGormDB(existingPool *pgxpool.Pool) *gorm.DB { }), &gorm.Config{ Logger: &sentryLogger{ + // defaultLogger: logger.Default.LogMode(logger.Info), defaultLogger: logger.Discard, }, }) diff --git a/database/models/compliance_posture_model.go b/database/models/compliance_posture_model.go index 858baee77..bdc70685c 100644 --- a/database/models/compliance_posture_model.go +++ b/database/models/compliance_posture_model.go @@ -83,20 +83,25 @@ func (m CompliancePosture) TableName() string { } func (m CompliancePosture) CalculateHash() uuid.UUID { - s := fmt.Sprintf("%s:%s", m.FrameworkControlID, m.OrgID.String()) - if m.ProjectID != nil { - s = fmt.Sprintf("%s:%s", s, m.ProjectID.String()) - } - if m.AssetID != nil { - s = fmt.Sprintf("%s:%s", s, m.AssetID.String()) - } - if m.AssetVersionName != nil { - s = fmt.Sprintf("%s:%s", s, *m.AssetVersionName) - } - return utils.HashToUUID(s) + return CalculateCompliancePostureHash(m.FrameworkControlID, m.OrgID, m.ProjectID, m.AssetID, m.AssetVersionName) } func (m CompliancePosture) BeforeSave(tx *gorm.DB) error { m.ID = m.CalculateHash() return nil } + +func CalculateCompliancePostureHash(frameworkControlID string, orgID uuid.UUID, projectID *uuid.UUID, assetID *uuid.UUID, assetVersionName *string) uuid.UUID { + s := fmt.Sprintf("%s:%s", frameworkControlID, orgID.String()) + if projectID != nil { + s = fmt.Sprintf("%s:%s", s, projectID.String()) + } + if assetID != nil { + s = fmt.Sprintf("%s:%s", s, assetID.String()) + } + if assetVersionName != nil { + s = fmt.Sprintf("%s:%s", s, *assetVersionName) + } + + return uuid.NewSHA1(uuid.NameSpaceURL, []byte(s)) +} diff --git a/database/repositories/compliance_posture_repository.go b/database/repositories/compliance_posture_repository.go index 9dec1e9dd..dc855af48 100644 --- a/database/repositories/compliance_posture_repository.go +++ b/database/repositories/compliance_posture_repository.go @@ -25,6 +25,7 @@ import ( "github.com/l3montree-dev/devguard/dtos" "github.com/l3montree-dev/devguard/shared" "github.com/l3montree-dev/devguard/statemachine" + "github.com/l3montree-dev/devguard/transformer" "github.com/l3montree-dev/devguard/utils" "gorm.io/gorm" ) @@ -36,12 +37,20 @@ type CompliancePostureRepository struct { type frameworkControlPostureRow struct { models.FrameworkControl - CompliancePostureID string `gorm:"column:id"` - State dtos.VulnState `gorm:"column:state"` - OrgID *uuid.UUID `gorm:"column:org_id"` - ProjectID *uuid.UUID `gorm:"column:project_id"` - AssetID *uuid.UUID `gorm:"column:asset_id"` - AssetVersionName *string `gorm:"column:asset_version_name"` + CompliancePostureID *uuid.UUID `gorm:"column:id"` + State dtos.VulnState `gorm:"column:state"` + OrgID *uuid.UUID `gorm:"column:org_id"` + ProjectID *uuid.UUID `gorm:"column:project_id"` + AssetID *uuid.UUID `gorm:"column:asset_id"` + AssetVersionName *string `gorm:"column:asset_version_name"` + Events []models.VulnEvent `gorm:"foreignKey:CompliancePostureID;references:CompliancePostureID"` +} + +func (row frameworkControlPostureRow) compliancePostureIDString() string { + if row.CompliancePostureID == nil { + return "" + } + return row.CompliancePostureID.String() } func (row frameworkControlPostureRow) toDTO() dtos.CompliancePostureWithControlDTO { @@ -64,7 +73,7 @@ func (row frameworkControlPostureRow) toDTO() dtos.CompliancePostureWithControlD Class: row.Class, Additional: row.Additional, ParentFrameworkControlID: row.ParentFrameworkControlID, - CompliancePostureID: row.CompliancePostureID, + CompliancePostureID: row.compliancePostureIDString(), State: row.State, OrgID: row.OrgID, ProjectID: row.ProjectID, @@ -74,6 +83,16 @@ func (row frameworkControlPostureRow) toDTO() dtos.CompliancePostureWithControlD } } +func (row frameworkControlPostureRow) toDetailsDTO() dtos.CompliancePostureWithDetailsDTO { + dto := dtos.CompliancePostureWithDetailsDTO{ + CompliancePostureWithControlDTO: row.toDTO(), + } + for _, ev := range row.Events { + dto.Events = append(dto.Events, transformer.ConvertVulnEventToDto(ev)) + } + return dto +} + func NewCompliancePostureRepository(db *gorm.DB) *CompliancePostureRepository { return &CompliancePostureRepository{ db: db, @@ -216,6 +235,88 @@ func (r *CompliancePostureRepository) GetForAllControlsPaged(ctx context.Context return shared.NewPaged(pageInfo, count, postures), nil } +func (r *CompliancePostureRepository) GetAllControls(ctx context.Context, tx *gorm.DB, assetVersionName *string, assetID *uuid.UUID, projectID *uuid.UUID, orgID uuid.UUID, search string, filter []shared.FilterQuery, sort []shared.SortQuery) ([]dtos.CompliancePostureWithDetailsDTO, error) { + var postures []dtos.CompliancePostureWithDetailsDTO + + query := r.GetDB(ctx, tx).Model(&models.FrameworkControl{}). + Select(`frameworks_controls.framework_control_id, + frameworks_controls.title, + frameworks_controls.description, + frameworks_controls.importance, + frameworks_controls.class, + frameworks_controls.additional, + frameworks_controls.parent_framework_control_id, + frameworks_controls.framework, + frameworks_controls.control_id, + COALESCE(cp_asset.id, cp_project.id, cp_org.id) AS id, + COALESCE(cp_asset.state, cp_project.state, cp_org.state) AS state, + COALESCE(cp_asset.org_id, cp_project.org_id, cp_org.org_id) AS org_id, + COALESCE(cp_asset.project_id, cp_project.project_id, cp_org.project_id) AS project_id, + COALESCE(cp_asset.asset_id, cp_project.asset_id, cp_org.asset_id) AS asset_id, + COALESCE(cp_asset.asset_version_name, cp_project.asset_version_name, cp_org.asset_version_name) AS asset_version_name`). + Joins(`LEFT JOIN compliance_postures cp_asset + ON frameworks_controls.framework_control_id = cp_asset.framework_control_id + AND cp_asset.org_id = ? + AND cp_asset.project_id IS NOT DISTINCT FROM ? + AND cp_asset.asset_id IS NOT DISTINCT FROM ? + AND cp_asset.asset_version_name IS NOT DISTINCT FROM ?`, orgID, projectID, assetID, assetVersionName). + Joins(`LEFT JOIN compliance_postures cp_project + ON frameworks_controls.framework_control_id = cp_project.framework_control_id + AND cp_project.org_id = ? + AND cp_project.project_id IS NOT DISTINCT FROM ? + AND cp_project.asset_id IS NULL + AND cp_project.asset_version_name IS NULL`, orgID, projectID). + Joins(`LEFT JOIN compliance_postures cp_org + ON frameworks_controls.framework_control_id = cp_org.framework_control_id + AND cp_org.org_id = ? + AND cp_org.project_id IS NULL + AND cp_org.asset_id IS NULL + AND cp_org.asset_version_name IS NULL`, orgID) + + if search != "" { + query = query.Where("(frameworks_controls.title ILIKE ? OR frameworks_controls.control_id ILIKE ? OR frameworks_controls.framework ILIKE ?)", "%"+search+"%", "%"+search+"%", "%"+search+"%") + } + + subquery := r.GetDB(ctx, tx).Table("(?) AS sub", query) + + for _, f := range filter { + group := r.GetDB(ctx, tx) + switch { + case f.Field == "state" && f.FieldValue == "open" && f.Operator == "is": + subquery = subquery.Where(group.Where(f.SQL(), f.Value()).Or("state IS NULL")) + case f.Field == "state" && f.FieldValue == "open" && f.Operator == "is not": + subquery = subquery.Where(f.SQL(), f.Value()).Where("state IS NOT NULL") + case f.Field == "framework" && f.Operator == "is": + subquery = subquery.Where(group.Where(f.SQL(), f.Value()). + Or("framework_control_id IN (SELECT framework_control_id FROM mapped_controls WHERE related_framework = ?)", f.Value())) + case f.Field == "framework" && f.Operator == "in": + subquery = subquery.Where(group.Where(f.SQL(), f.Value()). + Or("framework_control_id IN (SELECT framework_control_id FROM mapped_controls WHERE related_framework IN (?))", f.Value())) + default: + subquery = subquery.Where(f.SQL(), f.Value()) + } + } + + for _, s := range sort { + subquery = subquery.Order(s.SQL()) + } + + var rows []frameworkControlPostureRow + if err := subquery.Model(&frameworkControlPostureRow{}). + Preload("MappedControls"). + Preload("Events"). + Find(&rows).Error; err != nil { + return nil, err + } + + postures = make([]dtos.CompliancePostureWithDetailsDTO, len(rows)) + for i, row := range rows { + postures[i] = row.toDetailsDTO() + } + + return postures, nil +} + func (r *CompliancePostureRepository) GetStatsForAllControls(ctx context.Context, tx *gorm.DB, assetVersionName *string, assetID *uuid.UUID, projectID *uuid.UUID, orgID uuid.UUID, filter []shared.FilterQuery) (dtos.CompliancePostureStatsDTO, error) { type row struct { State *string `gorm:"column:state"` @@ -335,18 +436,3 @@ func (r *CompliancePostureRepository) GetForControl(ctx context.Context, tx *gor } return &posture, nil } - -// GetAllFrameworkControls returns the unique set of framework names present in -func (r *CompliancePostureRepository) GetAllFrameworkControls(ctx context.Context, tx *gorm.DB) ([]string, error) { - var frameworks []string - query := r.GetDB(ctx, tx).Raw(` - SELECT DISTINCT framework FROM frameworks_controls - UNION - SELECT DISTINCT related_framework FROM mapped_controls - ORDER BY framework - `) - if err := query.Scan(&frameworks).Error; err != nil { - return nil, err - } - return frameworks, nil -} diff --git a/database/repositories/framework_control_repository.go b/database/repositories/framework_control_repository.go new file mode 100644 index 000000000..5862d164e --- /dev/null +++ b/database/repositories/framework_control_repository.go @@ -0,0 +1,64 @@ +// Copyright (C) 2026 l3montree GmbH +// +// This program is free software: you can redistribute it and/or modify +// it under the terms of the GNU Affero General Public License as +// published by the Free Software Foundation, either version 3 of the +// License, or (at your option) any later version. +// +// This program is distributed in the hope that it will be useful, +// but WITHOUT ANY WARRANTY; without even the implied warranty of +// MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the +// GNU Affero General Public License for more details. +// +// You should have received a copy of the GNU Affero General Public License +// along with this program. If not, see . + +package repositories + +import ( + "context" + + "github.com/google/uuid" + "github.com/l3montree-dev/devguard/database/models" + "github.com/l3montree-dev/devguard/utils" + "gorm.io/gorm" +) + +type FrameworkControlRepository struct { + db *gorm.DB + utils.Repository[uuid.UUID, models.FrameworkControl, *gorm.DB] +} + +func NewFrameworkControlRepository(db *gorm.DB) *FrameworkControlRepository { + return &FrameworkControlRepository{ + db: db, + Repository: newGormRepository[uuid.UUID, models.FrameworkControl](db), + } +} + +func (r *FrameworkControlRepository) GetAll(ctx context.Context, tx *gorm.DB, framework *string) ([]models.FrameworkControl, error) { + var frameworkControls []models.FrameworkControl + query := r.GetDB(ctx, tx).Preload("MappedControls") + if framework != nil { + query = query.Where("framework = ?", *framework).Or("framework_control_id IN (SELECT framework_control_id FROM mapped_controls WHERE related_framework = ?)", *framework) + } + if err := query.Find(&frameworkControls).Error; err != nil { + return nil, err + } + return frameworkControls, nil +} + +// ListFrameworkControls returns the unique set of framework names +func (r *FrameworkControlRepository) ListFrameworkControls(ctx context.Context, tx *gorm.DB) ([]string, error) { + var frameworks []string + query := r.GetDB(ctx, tx).Raw(` + SELECT DISTINCT framework FROM frameworks_controls + UNION + SELECT DISTINCT related_framework FROM mapped_controls + ORDER BY framework + `) + if err := query.Scan(&frameworks).Error; err != nil { + return nil, err + } + return frameworks, nil +} diff --git a/database/repositories/providers.go b/database/repositories/providers.go index c7b55d467..791656537 100644 --- a/database/repositories/providers.go +++ b/database/repositories/providers.go @@ -23,6 +23,7 @@ import ( // Module provides all repository constructors as their interfaces var Module = fx.Options( fx.Provide(fx.Annotate(NewPATRepository, fx.As(new(shared.PersonalAccessTokenRepository)))), + fx.Provide(fx.Annotate(NewFrameworkControlRepository, fx.As(new(shared.FrameworkControlRepository)))), fx.Provide(fx.Annotate(NewAssetRepository, fx.As(new(shared.AssetRepository)))), fx.Provide(fx.Annotate(NewArtifactRiskHistoryRepository, fx.As(new(shared.ArtifactRiskHistoryRepository)))), fx.Provide(fx.Annotate(NewAssetVersionRepository, fx.As(new(shared.AssetVersionRepository)))), diff --git a/dtos/comilance_posture_dto.go b/dtos/comilance_posture_dto.go index 82990d6b3..3538e7f7a 100644 --- a/dtos/comilance_posture_dto.go +++ b/dtos/comilance_posture_dto.go @@ -51,7 +51,7 @@ type CompliancePostureWithControlDTO struct { Class string `json:"class"` Additional datatypes.JSON `json:"additional"` ParentFrameworkControlID *string `json:"parentFrameworkControlId"` - CompliancePostureID string `json:"compliancePostureId" gorm:"column:id"` + CompliancePostureID string `json:"compliancePostureId"` State VulnState `json:"state"` OrgID *uuid.UUID `json:"orgId"` ProjectID *uuid.UUID `json:"projectId"` diff --git a/router/compliance_posture_router.go b/router/compliance_posture_router.go index 5d8beff81..cc15aa10f 100644 --- a/router/compliance_posture_router.go +++ b/router/compliance_posture_router.go @@ -34,6 +34,7 @@ func NewCompliancePostureRouter( compliancePostureRouter.GET("/stats/", compliancePostureController.Stats) compliancePostureRouter.GET("/:frameworkControlID/", compliancePostureController.Read) compliancePostureRouter.POST("/:frameworkControlID/", compliancePostureController.CreateEvent, middlewares.NeededScope([]string{"manage"}), middlewares.DisallowPublicRequests) + compliancePostureRouter.GET("/oscal/", compliancePostureController.GetOSCAL) return CompliancePostureRouter{Group: compliancePostureRouter} } diff --git a/router/org_router.go b/router/org_router.go index 52e80e5c6..972648aad 100644 --- a/router/org_router.go +++ b/router/org_router.go @@ -77,6 +77,7 @@ func NewOrgRouter( organizationRouter.GET("/dependency-vulns/", dependencyVulnController.ListByOrgPaged) organizationRouter.GET("/first-party-vulns/", firstPartyVulnController.ListByOrgPaged) organizationRouter.GET("/compliance-postures/", compliancePostureController.ListPaged) + organizationRouter.GET("/compliance-postures/oscal/", compliancePostureController.GetOSCAL) organizationRouter.GET("/compliance-postures/stats/", compliancePostureController.Stats) organizationRouter.GET("/compliance-postures/:frameworkControlID/", compliancePostureController.Read) organizationRouter.POST("/compliance-postures/:frameworkControlID/", compliancePostureController.CreateEvent, middlewares.NeededScope([]string{"manage"}), middlewares.DisallowPublicRequests) diff --git a/router/project_router.go b/router/project_router.go index 7bda6493e..e23fed233 100644 --- a/router/project_router.go +++ b/router/project_router.go @@ -55,6 +55,7 @@ func NewProjectRouter( projectRouter.GET("/policies/", policyController.GetProjectPolicies) projectRouter.GET("/dependency-vulns/", dependencyVulnController.ListByProjectPaged) projectRouter.GET("/compliance-postures/", compliancePostureController.ListPaged) + projectRouter.GET("/compliance-postures/oscal/", compliancePostureController.GetOSCAL) projectRouter.GET("/compliance-postures/stats/", compliancePostureController.Stats) projectRouter.GET("/compliance-postures/:frameworkControlID/", compliancePostureController.Read) projectRouter.POST("/compliance-postures/:frameworkControlID/", compliancePostureController.CreateEvent, middlewares.NeededScope([]string{"manage"}), middlewares.DisallowPublicRequests) diff --git a/services/compliance_posture_service.go b/services/compliance_posture_service.go index cec71039a..eeab86a4f 100644 --- a/services/compliance_posture_service.go +++ b/services/compliance_posture_service.go @@ -50,6 +50,17 @@ func (s *compliancePostureService) GetForAllControlsPaged(ctx context.Context, t return postgres, err } +func (s *compliancePostureService) GetAllControls(ctx context.Context, tx *gorm.DB, assetVersionName *string, assetID *uuid.UUID, projectID *uuid.UUID, orgID uuid.UUID, search string, filter []shared.FilterQuery, sort []shared.SortQuery) ([]dtos.CompliancePostureWithDetailsDTO, error) { + postures, err := s.compliancePostureRepository.GetAllControls(ctx, tx, assetVersionName, assetID, projectID, orgID, search, filter, sort) + //mapping the state to string for the DTO + for i, posture := range postures { + if posture.State == "" { + postures[i].State = dtos.VulnStateOpen + } + } + return postures, err +} + func (s *compliancePostureService) UpdateCompliancePostureState(ctx context.Context, tx shared.DB, userID string, posture *models.CompliancePosture, statusType string, justification string, mechanicalJustification dtos.MechanicalJustificationType, userAgent *string) (models.VulnEvent, error) { if tx == nil { var ev models.VulnEvent @@ -99,7 +110,3 @@ func (s *compliancePostureService) GetForControl(ctx context.Context, tx *gorm.D return posture, nil } - -func (s *compliancePostureService) GetAllFrameworkControls(ctx context.Context, tx shared.DB) ([]string, error) { - return s.compliancePostureRepository.GetAllFrameworkControls(ctx, tx) -} diff --git a/shared/common_interfaces.go b/shared/common_interfaces.go index 695bdb392..42879c01c 100644 --- a/shared/common_interfaces.go +++ b/shared/common_interfaces.go @@ -771,18 +771,25 @@ type CompliancePostureRepository interface { FindOrCreate(ctx context.Context, tx DB, posture models.CompliancePosture) (*models.CompliancePosture, error) GetForAllControlsPaged(ctx context.Context, tx DB, assetVersionName *string, assetID *uuid.UUID, projectID *uuid.UUID, orgID uuid.UUID, pageInfo PageInfo, search string, filter []FilterQuery, sort []SortQuery) (Paged[dtos.CompliancePostureWithControlDTO], error) + GetAllControls(ctx context.Context, tx DB, assetVersionName *string, assetID *uuid.UUID, projectID *uuid.UUID, orgID uuid.UUID, search string, filter []FilterQuery, sort []SortQuery) ([]dtos.CompliancePostureWithDetailsDTO, error) GetStatsForAllControls(ctx context.Context, tx DB, assetVersionName *string, assetID *uuid.UUID, projectID *uuid.UUID, orgID uuid.UUID, filter []FilterQuery) (dtos.CompliancePostureStatsDTO, error) GetForControl(ctx context.Context, tx DB, controlID string, assetVersionName *string, assetID *uuid.UUID, projectID *uuid.UUID, orgID uuid.UUID) (*models.CompliancePosture, error) - GetAllFrameworkControls(ctx context.Context, tx DB) ([]string, error) } + +type FrameworkControlRepository interface { + utils.Repository[uuid.UUID, models.FrameworkControl, DB] + GetAll(ctx context.Context, tx DB, framework *string) ([]models.FrameworkControl, error) + ListFrameworkControls(ctx context.Context, tx DB) ([]string, error) +} + type CompliancePostureService interface { UpdateCompliancePostureState(ctx context.Context, tx DB, userID string, posture *models.CompliancePosture, statusType string, justification string, mechanicalJustification dtos.MechanicalJustificationType, userAgent *string) (models.VulnEvent, error) GetForAllControlsPaged(ctx context.Context, tx DB, assetVersionName *string, assetID *uuid.UUID, projectID *uuid.UUID, orgID uuid.UUID, pageInfo PageInfo, search string, filter []FilterQuery, sort []SortQuery) (Paged[dtos.CompliancePostureWithControlDTO], error) + GetAllControls(ctx context.Context, tx DB, assetVersionName *string, assetID *uuid.UUID, projectID *uuid.UUID, orgID uuid.UUID, search string, filter []FilterQuery, sort []SortQuery) ([]dtos.CompliancePostureWithDetailsDTO, error) GetStatsForAllControls(ctx context.Context, tx DB, assetVersionName *string, assetID *uuid.UUID, projectID *uuid.UUID, orgID uuid.UUID, filter []FilterQuery) (dtos.CompliancePostureStatsDTO, error) GetForControl(ctx context.Context, tx DB, controlID string, assetVersionName *string, assetID *uuid.UUID, projectID *uuid.UUID, orgID uuid.UUID) (*models.CompliancePosture, error) - GetAllFrameworkControls(ctx context.Context, tx DB) ([]string, error) } type RBACProvider interface { diff --git a/transformer/compliance_posture_transformer.go b/transformer/compliance_posture_transformer.go index 1ea5858d0..c16633a8a 100644 --- a/transformer/compliance_posture_transformer.go +++ b/transformer/compliance_posture_transformer.go @@ -17,7 +17,11 @@ package transformer import ( "encoding/json" + "strings" + "time" + oscalTypes "github.com/defenseunicorns/go-oscal/src/types/oscal-1-1-3" + "github.com/google/uuid" "github.com/l3montree-dev/devguard/database/models" "github.com/l3montree-dev/devguard/dtos" "gorm.io/datatypes" @@ -67,3 +71,117 @@ func CompliancePostureToDTO(c models.CompliancePosture) dtos.CompliancePostureWi Events: events, } } + +func handleFrameworkControlID(frameworkControlID string) string { + frameworkControlID = strings.Replace(frameworkControlID, ":", "-", -1) + + return uuid.NewSHA1(uuid.NameSpaceURL, []byte(frameworkControlID)).String() +} + +func ConvertCompliancePosturesToSystemSecurityPlanOSCAL(compliancePostures []dtos.CompliancePostureWithDetailsDTO, frameworkControls []models.FrameworkControl) (oscalTypes.OscalCompleteSchema, error) { + + //OscalCompleteSchema + var schema oscalTypes.OscalCompleteSchema + systemSecurityPlan := oscalTypes.SystemSecurityPlan{} + + metadata := oscalTypes.Metadata{ + Title: "DevGuard System Security Plan", + Version: "0.0.1", + OscalVersion: "1.1.3", + LastModified: time.Now(), + } + systemSecurityPlan.Metadata = metadata + systemSecurityPlan.UUID = uuid.New().String() + + systemSecurityPlan.SystemCharacteristics = oscalTypes.SystemCharacteristics{ + SystemName: "DevGuard System Security Plan", + Description: "DevGuard System Security Plan", + AuthorizationBoundary: oscalTypes.AuthorizationBoundary{ + Description: "DevGuard System Security Plan", + }, + Status: oscalTypes.Status{ + State: "operational", + }, + SystemIds: []oscalTypes.SystemId{ + { + ID: uuid.New().String(), + }, + }, + + SystemInformation: oscalTypes.SystemInformation{ + InformationTypes: []oscalTypes.InformationType{ + { + UUID: uuid.New().String(), + Title: "DevGuard Compliance Data", + Description: "Compliance posture data managed by DevGuard.", + }, + }, + }, + } + + systemImplementation := oscalTypes.SystemImplementation{ + Users: []oscalTypes.SystemUser{ + { + UUID: uuid.New().String(), + Title: "DevGuard User", + }, + }, + } + systemComponents := []oscalTypes.SystemComponent{} + + for _, frameworkControl := range frameworkControls { + systemComponent := oscalTypes.SystemComponent{ + UUID: handleFrameworkControlID(frameworkControl.FrameworkControlID), + Title: frameworkControl.Title, + Description: frameworkControl.Description, + Status: oscalTypes.SystemComponentStatus{ + State: "operational", + }, + Type: "software", + } + systemComponents = append(systemComponents, systemComponent) + } + + systemImplementation.Components = systemComponents + systemSecurityPlan.SystemImplementation = systemImplementation + + controlImplementation := oscalTypes.ControlImplementation{} + implementedRequirements := []oscalTypes.ImplementedRequirement{} + + for _, compliancePosture := range compliancePostures { + implementedRequirement := oscalTypes.ImplementedRequirement{ + ControlId: strings.ReplaceAll(strings.ReplaceAll(compliancePosture.FrameworkControlID, "++", ""), ":", "_"), + + UUID: uuid.NewSHA1(uuid.NameSpaceURL, []byte(compliancePosture.CompliancePostureID)).String(), + } + + description := "" + state := string(compliancePosture.State) + if state == "open" { + state = "planned" + } + if len(compliancePosture.Events) > 0 && compliancePosture.Events[len(compliancePosture.Events)-1].Justification != nil { + description = *compliancePosture.Events[len(compliancePosture.Events)-1].Justification + } + byComponents := []oscalTypes.ByComponent{} + byComponent := oscalTypes.ByComponent{ + ComponentUuid: handleFrameworkControlID(compliancePosture.FrameworkControlID), + Description: description, + ImplementationStatus: &oscalTypes.ImplementationStatus{ + State: state, + }, + UUID: uuid.NewSHA1(uuid.NameSpaceURL, []byte(compliancePosture.CompliancePostureID)).String(), + } + byComponents = append(byComponents, byComponent) + implementedRequirement.ByComponents = &byComponents + + implementedRequirements = append(implementedRequirements, implementedRequirement) + } + + controlImplementation.ImplementedRequirements = implementedRequirements + systemSecurityPlan.ControlImplementation = controlImplementation + + schema.SystemSecurityPlan = &systemSecurityPlan + + return schema, nil +} diff --git a/vulndb/compliance/oscal_service.go b/vulndb/compliance/oscal_service.go index ec20b3361..d48e7f507 100644 --- a/vulndb/compliance/oscal_service.go +++ b/vulndb/compliance/oscal_service.go @@ -21,6 +21,7 @@ import ( "io" "strings" + "github.com/defenseunicorns/go-oscal/src/pkg/validation" oscalTypes "github.com/defenseunicorns/go-oscal/src/types/oscal-1-1-3" "github.com/l3montree-dev/devguard/database/models" "gorm.io/datatypes" @@ -213,3 +214,12 @@ func derefProps(p *[]oscalTypes.Property) []oscalTypes.Property { } return *p } + +// schema matching its detected model type and version. +func ValidateOSCAL(oscalDoc any) error { + validator, err := validation.NewValidator(oscalDoc) + if err != nil { + return err + } + return validator.Validate() +} From e300abc4538db78ea5ee6620579e69c14b4ba18b Mon Sep 17 00:00:00 2001 From: rafi Date: Mon, 13 Jul 2026 17:19:20 +0200 Subject: [PATCH 06/16] fix mocks Signed-off-by: rafi --- database/database.go | 1 - mocks/mock_CompliancePostureRepository.go | 140 ++- mocks/mock_CompliancePostureService.go | 140 ++- mocks/mock_FrameworkControlRepository.go | 1197 +++++++++++++++++++++ 4 files changed, 1453 insertions(+), 25 deletions(-) create mode 100644 mocks/mock_FrameworkControlRepository.go diff --git a/database/database.go b/database/database.go index 18b4f8c77..333d2001e 100644 --- a/database/database.go +++ b/database/database.go @@ -114,7 +114,6 @@ func NewGormDB(existingPool *pgxpool.Pool) *gorm.DB { }), &gorm.Config{ Logger: &sentryLogger{ - // defaultLogger: logger.Default.LogMode(logger.Info), defaultLogger: logger.Discard, }, }) diff --git a/mocks/mock_CompliancePostureRepository.go b/mocks/mock_CompliancePostureRepository.go index 446d9e71c..3c170f6b7 100644 --- a/mocks/mock_CompliancePostureRepository.go +++ b/mocks/mock_CompliancePostureRepository.go @@ -672,6 +672,116 @@ func (_c *CompliancePostureRepository_FindOrCreate_Call) RunAndReturn(run func(c return _c } +// GetAllControls provides a mock function for the type CompliancePostureRepository +func (_mock *CompliancePostureRepository) GetAllControls(ctx context.Context, tx shared.DB, assetVersionName *string, assetID *uuid.UUID, projectID *uuid.UUID, orgID uuid.UUID, search string, filter []shared.FilterQuery, sort []shared.SortQuery) ([]dtos.CompliancePostureWithDetailsDTO, error) { + ret := _mock.Called(ctx, tx, assetVersionName, assetID, projectID, orgID, search, filter, sort) + + if len(ret) == 0 { + panic("no return value specified for GetAllControls") + } + + var r0 []dtos.CompliancePostureWithDetailsDTO + var r1 error + if returnFunc, ok := ret.Get(0).(func(context.Context, shared.DB, *string, *uuid.UUID, *uuid.UUID, uuid.UUID, string, []shared.FilterQuery, []shared.SortQuery) ([]dtos.CompliancePostureWithDetailsDTO, error)); ok { + return returnFunc(ctx, tx, assetVersionName, assetID, projectID, orgID, search, filter, sort) + } + if returnFunc, ok := ret.Get(0).(func(context.Context, shared.DB, *string, *uuid.UUID, *uuid.UUID, uuid.UUID, string, []shared.FilterQuery, []shared.SortQuery) []dtos.CompliancePostureWithDetailsDTO); ok { + r0 = returnFunc(ctx, tx, assetVersionName, assetID, projectID, orgID, search, filter, sort) + } else { + if ret.Get(0) != nil { + r0 = ret.Get(0).([]dtos.CompliancePostureWithDetailsDTO) + } + } + if returnFunc, ok := ret.Get(1).(func(context.Context, shared.DB, *string, *uuid.UUID, *uuid.UUID, uuid.UUID, string, []shared.FilterQuery, []shared.SortQuery) error); ok { + r1 = returnFunc(ctx, tx, assetVersionName, assetID, projectID, orgID, search, filter, sort) + } else { + r1 = ret.Error(1) + } + return r0, r1 +} + +// CompliancePostureRepository_GetAllControls_Call is a *mock.Call that shadows Run/Return methods with type explicit version for method 'GetAllControls' +type CompliancePostureRepository_GetAllControls_Call struct { + *mock.Call +} + +// GetAllControls is a helper method to define mock.On call +// - ctx context.Context +// - tx shared.DB +// - assetVersionName *string +// - assetID *uuid.UUID +// - projectID *uuid.UUID +// - orgID uuid.UUID +// - search string +// - filter []shared.FilterQuery +// - sort []shared.SortQuery +func (_e *CompliancePostureRepository_Expecter) GetAllControls(ctx interface{}, tx interface{}, assetVersionName interface{}, assetID interface{}, projectID interface{}, orgID interface{}, search interface{}, filter interface{}, sort interface{}) *CompliancePostureRepository_GetAllControls_Call { + return &CompliancePostureRepository_GetAllControls_Call{Call: _e.mock.On("GetAllControls", ctx, tx, assetVersionName, assetID, projectID, orgID, search, filter, sort)} +} + +func (_c *CompliancePostureRepository_GetAllControls_Call) Run(run func(ctx context.Context, tx shared.DB, assetVersionName *string, assetID *uuid.UUID, projectID *uuid.UUID, orgID uuid.UUID, search string, filter []shared.FilterQuery, sort []shared.SortQuery)) *CompliancePostureRepository_GetAllControls_Call { + _c.Call.Run(func(args mock.Arguments) { + var arg0 context.Context + if args[0] != nil { + arg0 = args[0].(context.Context) + } + var arg1 shared.DB + if args[1] != nil { + arg1 = args[1].(shared.DB) + } + var arg2 *string + if args[2] != nil { + arg2 = args[2].(*string) + } + var arg3 *uuid.UUID + if args[3] != nil { + arg3 = args[3].(*uuid.UUID) + } + var arg4 *uuid.UUID + if args[4] != nil { + arg4 = args[4].(*uuid.UUID) + } + var arg5 uuid.UUID + if args[5] != nil { + arg5 = args[5].(uuid.UUID) + } + var arg6 string + if args[6] != nil { + arg6 = args[6].(string) + } + var arg7 []shared.FilterQuery + if args[7] != nil { + arg7 = args[7].([]shared.FilterQuery) + } + var arg8 []shared.SortQuery + if args[8] != nil { + arg8 = args[8].([]shared.SortQuery) + } + run( + arg0, + arg1, + arg2, + arg3, + arg4, + arg5, + arg6, + arg7, + arg8, + ) + }) + return _c +} + +func (_c *CompliancePostureRepository_GetAllControls_Call) Return(compliancePostureWithDetailsDTOs []dtos.CompliancePostureWithDetailsDTO, err error) *CompliancePostureRepository_GetAllControls_Call { + _c.Call.Return(compliancePostureWithDetailsDTOs, err) + return _c +} + +func (_c *CompliancePostureRepository_GetAllControls_Call) RunAndReturn(run func(ctx context.Context, tx shared.DB, assetVersionName *string, assetID *uuid.UUID, projectID *uuid.UUID, orgID uuid.UUID, search string, filter []shared.FilterQuery, sort []shared.SortQuery) ([]dtos.CompliancePostureWithDetailsDTO, error)) *CompliancePostureRepository_GetAllControls_Call { + _c.Call.Return(run) + return _c +} + // GetDB provides a mock function for the type CompliancePostureRepository func (_mock *CompliancePostureRepository) GetDB(ctx context.Context, tx shared.DB) shared.DB { ret := _mock.Called(ctx, tx) @@ -944,8 +1054,8 @@ func (_c *CompliancePostureRepository_GetForControl_Call) RunAndReturn(run func( } // GetStatsForAllControls provides a mock function for the type CompliancePostureRepository -func (_mock *CompliancePostureRepository) GetStatsForAllControls(ctx context.Context, tx shared.DB, assetVersionName *string, assetID *uuid.UUID, projectID *uuid.UUID, orgID uuid.UUID) (dtos.CompliancePostureStatsDTO, error) { - ret := _mock.Called(ctx, tx, assetVersionName, assetID, projectID, orgID) +func (_mock *CompliancePostureRepository) GetStatsForAllControls(ctx context.Context, tx shared.DB, assetVersionName *string, assetID *uuid.UUID, projectID *uuid.UUID, orgID uuid.UUID, filter []shared.FilterQuery) (dtos.CompliancePostureStatsDTO, error) { + ret := _mock.Called(ctx, tx, assetVersionName, assetID, projectID, orgID, filter) if len(ret) == 0 { panic("no return value specified for GetStatsForAllControls") @@ -953,16 +1063,16 @@ func (_mock *CompliancePostureRepository) GetStatsForAllControls(ctx context.Con var r0 dtos.CompliancePostureStatsDTO var r1 error - if returnFunc, ok := ret.Get(0).(func(context.Context, shared.DB, *string, *uuid.UUID, *uuid.UUID, uuid.UUID) (dtos.CompliancePostureStatsDTO, error)); ok { - return returnFunc(ctx, tx, assetVersionName, assetID, projectID, orgID) + if returnFunc, ok := ret.Get(0).(func(context.Context, shared.DB, *string, *uuid.UUID, *uuid.UUID, uuid.UUID, []shared.FilterQuery) (dtos.CompliancePostureStatsDTO, error)); ok { + return returnFunc(ctx, tx, assetVersionName, assetID, projectID, orgID, filter) } - if returnFunc, ok := ret.Get(0).(func(context.Context, shared.DB, *string, *uuid.UUID, *uuid.UUID, uuid.UUID) dtos.CompliancePostureStatsDTO); ok { - r0 = returnFunc(ctx, tx, assetVersionName, assetID, projectID, orgID) + if returnFunc, ok := ret.Get(0).(func(context.Context, shared.DB, *string, *uuid.UUID, *uuid.UUID, uuid.UUID, []shared.FilterQuery) dtos.CompliancePostureStatsDTO); ok { + r0 = returnFunc(ctx, tx, assetVersionName, assetID, projectID, orgID, filter) } else { r0 = ret.Get(0).(dtos.CompliancePostureStatsDTO) } - if returnFunc, ok := ret.Get(1).(func(context.Context, shared.DB, *string, *uuid.UUID, *uuid.UUID, uuid.UUID) error); ok { - r1 = returnFunc(ctx, tx, assetVersionName, assetID, projectID, orgID) + if returnFunc, ok := ret.Get(1).(func(context.Context, shared.DB, *string, *uuid.UUID, *uuid.UUID, uuid.UUID, []shared.FilterQuery) error); ok { + r1 = returnFunc(ctx, tx, assetVersionName, assetID, projectID, orgID, filter) } else { r1 = ret.Error(1) } @@ -981,11 +1091,12 @@ type CompliancePostureRepository_GetStatsForAllControls_Call struct { // - assetID *uuid.UUID // - projectID *uuid.UUID // - orgID uuid.UUID -func (_e *CompliancePostureRepository_Expecter) GetStatsForAllControls(ctx interface{}, tx interface{}, assetVersionName interface{}, assetID interface{}, projectID interface{}, orgID interface{}) *CompliancePostureRepository_GetStatsForAllControls_Call { - return &CompliancePostureRepository_GetStatsForAllControls_Call{Call: _e.mock.On("GetStatsForAllControls", ctx, tx, assetVersionName, assetID, projectID, orgID)} +// - filter []shared.FilterQuery +func (_e *CompliancePostureRepository_Expecter) GetStatsForAllControls(ctx interface{}, tx interface{}, assetVersionName interface{}, assetID interface{}, projectID interface{}, orgID interface{}, filter interface{}) *CompliancePostureRepository_GetStatsForAllControls_Call { + return &CompliancePostureRepository_GetStatsForAllControls_Call{Call: _e.mock.On("GetStatsForAllControls", ctx, tx, assetVersionName, assetID, projectID, orgID, filter)} } -func (_c *CompliancePostureRepository_GetStatsForAllControls_Call) Run(run func(ctx context.Context, tx shared.DB, assetVersionName *string, assetID *uuid.UUID, projectID *uuid.UUID, orgID uuid.UUID)) *CompliancePostureRepository_GetStatsForAllControls_Call { +func (_c *CompliancePostureRepository_GetStatsForAllControls_Call) Run(run func(ctx context.Context, tx shared.DB, assetVersionName *string, assetID *uuid.UUID, projectID *uuid.UUID, orgID uuid.UUID, filter []shared.FilterQuery)) *CompliancePostureRepository_GetStatsForAllControls_Call { _c.Call.Run(func(args mock.Arguments) { var arg0 context.Context if args[0] != nil { @@ -1011,6 +1122,10 @@ func (_c *CompliancePostureRepository_GetStatsForAllControls_Call) Run(run func( if args[5] != nil { arg5 = args[5].(uuid.UUID) } + var arg6 []shared.FilterQuery + if args[6] != nil { + arg6 = args[6].([]shared.FilterQuery) + } run( arg0, arg1, @@ -1018,6 +1133,7 @@ func (_c *CompliancePostureRepository_GetStatsForAllControls_Call) Run(run func( arg3, arg4, arg5, + arg6, ) }) return _c @@ -1028,7 +1144,7 @@ func (_c *CompliancePostureRepository_GetStatsForAllControls_Call) Return(compli return _c } -func (_c *CompliancePostureRepository_GetStatsForAllControls_Call) RunAndReturn(run func(ctx context.Context, tx shared.DB, assetVersionName *string, assetID *uuid.UUID, projectID *uuid.UUID, orgID uuid.UUID) (dtos.CompliancePostureStatsDTO, error)) *CompliancePostureRepository_GetStatsForAllControls_Call { +func (_c *CompliancePostureRepository_GetStatsForAllControls_Call) RunAndReturn(run func(ctx context.Context, tx shared.DB, assetVersionName *string, assetID *uuid.UUID, projectID *uuid.UUID, orgID uuid.UUID, filter []shared.FilterQuery) (dtos.CompliancePostureStatsDTO, error)) *CompliancePostureRepository_GetStatsForAllControls_Call { _c.Call.Return(run) return _c } diff --git a/mocks/mock_CompliancePostureService.go b/mocks/mock_CompliancePostureService.go index 363c2abe6..e77fa1f32 100644 --- a/mocks/mock_CompliancePostureService.go +++ b/mocks/mock_CompliancePostureService.go @@ -41,6 +41,116 @@ func (_m *CompliancePostureService) EXPECT() *CompliancePostureService_Expecter return &CompliancePostureService_Expecter{mock: &_m.Mock} } +// GetAllControls provides a mock function for the type CompliancePostureService +func (_mock *CompliancePostureService) GetAllControls(ctx context.Context, tx shared.DB, assetVersionName *string, assetID *uuid.UUID, projectID *uuid.UUID, orgID uuid.UUID, search string, filter []shared.FilterQuery, sort []shared.SortQuery) ([]dtos.CompliancePostureWithDetailsDTO, error) { + ret := _mock.Called(ctx, tx, assetVersionName, assetID, projectID, orgID, search, filter, sort) + + if len(ret) == 0 { + panic("no return value specified for GetAllControls") + } + + var r0 []dtos.CompliancePostureWithDetailsDTO + var r1 error + if returnFunc, ok := ret.Get(0).(func(context.Context, shared.DB, *string, *uuid.UUID, *uuid.UUID, uuid.UUID, string, []shared.FilterQuery, []shared.SortQuery) ([]dtos.CompliancePostureWithDetailsDTO, error)); ok { + return returnFunc(ctx, tx, assetVersionName, assetID, projectID, orgID, search, filter, sort) + } + if returnFunc, ok := ret.Get(0).(func(context.Context, shared.DB, *string, *uuid.UUID, *uuid.UUID, uuid.UUID, string, []shared.FilterQuery, []shared.SortQuery) []dtos.CompliancePostureWithDetailsDTO); ok { + r0 = returnFunc(ctx, tx, assetVersionName, assetID, projectID, orgID, search, filter, sort) + } else { + if ret.Get(0) != nil { + r0 = ret.Get(0).([]dtos.CompliancePostureWithDetailsDTO) + } + } + if returnFunc, ok := ret.Get(1).(func(context.Context, shared.DB, *string, *uuid.UUID, *uuid.UUID, uuid.UUID, string, []shared.FilterQuery, []shared.SortQuery) error); ok { + r1 = returnFunc(ctx, tx, assetVersionName, assetID, projectID, orgID, search, filter, sort) + } else { + r1 = ret.Error(1) + } + return r0, r1 +} + +// CompliancePostureService_GetAllControls_Call is a *mock.Call that shadows Run/Return methods with type explicit version for method 'GetAllControls' +type CompliancePostureService_GetAllControls_Call struct { + *mock.Call +} + +// GetAllControls is a helper method to define mock.On call +// - ctx context.Context +// - tx shared.DB +// - assetVersionName *string +// - assetID *uuid.UUID +// - projectID *uuid.UUID +// - orgID uuid.UUID +// - search string +// - filter []shared.FilterQuery +// - sort []shared.SortQuery +func (_e *CompliancePostureService_Expecter) GetAllControls(ctx interface{}, tx interface{}, assetVersionName interface{}, assetID interface{}, projectID interface{}, orgID interface{}, search interface{}, filter interface{}, sort interface{}) *CompliancePostureService_GetAllControls_Call { + return &CompliancePostureService_GetAllControls_Call{Call: _e.mock.On("GetAllControls", ctx, tx, assetVersionName, assetID, projectID, orgID, search, filter, sort)} +} + +func (_c *CompliancePostureService_GetAllControls_Call) Run(run func(ctx context.Context, tx shared.DB, assetVersionName *string, assetID *uuid.UUID, projectID *uuid.UUID, orgID uuid.UUID, search string, filter []shared.FilterQuery, sort []shared.SortQuery)) *CompliancePostureService_GetAllControls_Call { + _c.Call.Run(func(args mock.Arguments) { + var arg0 context.Context + if args[0] != nil { + arg0 = args[0].(context.Context) + } + var arg1 shared.DB + if args[1] != nil { + arg1 = args[1].(shared.DB) + } + var arg2 *string + if args[2] != nil { + arg2 = args[2].(*string) + } + var arg3 *uuid.UUID + if args[3] != nil { + arg3 = args[3].(*uuid.UUID) + } + var arg4 *uuid.UUID + if args[4] != nil { + arg4 = args[4].(*uuid.UUID) + } + var arg5 uuid.UUID + if args[5] != nil { + arg5 = args[5].(uuid.UUID) + } + var arg6 string + if args[6] != nil { + arg6 = args[6].(string) + } + var arg7 []shared.FilterQuery + if args[7] != nil { + arg7 = args[7].([]shared.FilterQuery) + } + var arg8 []shared.SortQuery + if args[8] != nil { + arg8 = args[8].([]shared.SortQuery) + } + run( + arg0, + arg1, + arg2, + arg3, + arg4, + arg5, + arg6, + arg7, + arg8, + ) + }) + return _c +} + +func (_c *CompliancePostureService_GetAllControls_Call) Return(compliancePostureWithDetailsDTOs []dtos.CompliancePostureWithDetailsDTO, err error) *CompliancePostureService_GetAllControls_Call { + _c.Call.Return(compliancePostureWithDetailsDTOs, err) + return _c +} + +func (_c *CompliancePostureService_GetAllControls_Call) RunAndReturn(run func(ctx context.Context, tx shared.DB, assetVersionName *string, assetID *uuid.UUID, projectID *uuid.UUID, orgID uuid.UUID, search string, filter []shared.FilterQuery, sort []shared.SortQuery) ([]dtos.CompliancePostureWithDetailsDTO, error)) *CompliancePostureService_GetAllControls_Call { + _c.Call.Return(run) + return _c +} + // GetForAllControlsPaged provides a mock function for the type CompliancePostureService func (_mock *CompliancePostureService) GetForAllControlsPaged(ctx context.Context, tx shared.DB, assetVersionName *string, assetID *uuid.UUID, projectID *uuid.UUID, orgID uuid.UUID, pageInfo shared.PageInfo, search string, filter []shared.FilterQuery, sort []shared.SortQuery) (shared.Paged[dtos.CompliancePostureWithControlDTO], error) { ret := _mock.Called(ctx, tx, assetVersionName, assetID, projectID, orgID, pageInfo, search, filter, sort) @@ -254,8 +364,8 @@ func (_c *CompliancePostureService_GetForControl_Call) RunAndReturn(run func(ctx } // GetStatsForAllControls provides a mock function for the type CompliancePostureService -func (_mock *CompliancePostureService) GetStatsForAllControls(ctx context.Context, tx shared.DB, assetVersionName *string, assetID *uuid.UUID, projectID *uuid.UUID, orgID uuid.UUID) (dtos.CompliancePostureStatsDTO, error) { - ret := _mock.Called(ctx, tx, assetVersionName, assetID, projectID, orgID) +func (_mock *CompliancePostureService) GetStatsForAllControls(ctx context.Context, tx shared.DB, assetVersionName *string, assetID *uuid.UUID, projectID *uuid.UUID, orgID uuid.UUID, filter []shared.FilterQuery) (dtos.CompliancePostureStatsDTO, error) { + ret := _mock.Called(ctx, tx, assetVersionName, assetID, projectID, orgID, filter) if len(ret) == 0 { panic("no return value specified for GetStatsForAllControls") @@ -263,16 +373,16 @@ func (_mock *CompliancePostureService) GetStatsForAllControls(ctx context.Contex var r0 dtos.CompliancePostureStatsDTO var r1 error - if returnFunc, ok := ret.Get(0).(func(context.Context, shared.DB, *string, *uuid.UUID, *uuid.UUID, uuid.UUID) (dtos.CompliancePostureStatsDTO, error)); ok { - return returnFunc(ctx, tx, assetVersionName, assetID, projectID, orgID) + if returnFunc, ok := ret.Get(0).(func(context.Context, shared.DB, *string, *uuid.UUID, *uuid.UUID, uuid.UUID, []shared.FilterQuery) (dtos.CompliancePostureStatsDTO, error)); ok { + return returnFunc(ctx, tx, assetVersionName, assetID, projectID, orgID, filter) } - if returnFunc, ok := ret.Get(0).(func(context.Context, shared.DB, *string, *uuid.UUID, *uuid.UUID, uuid.UUID) dtos.CompliancePostureStatsDTO); ok { - r0 = returnFunc(ctx, tx, assetVersionName, assetID, projectID, orgID) + if returnFunc, ok := ret.Get(0).(func(context.Context, shared.DB, *string, *uuid.UUID, *uuid.UUID, uuid.UUID, []shared.FilterQuery) dtos.CompliancePostureStatsDTO); ok { + r0 = returnFunc(ctx, tx, assetVersionName, assetID, projectID, orgID, filter) } else { r0 = ret.Get(0).(dtos.CompliancePostureStatsDTO) } - if returnFunc, ok := ret.Get(1).(func(context.Context, shared.DB, *string, *uuid.UUID, *uuid.UUID, uuid.UUID) error); ok { - r1 = returnFunc(ctx, tx, assetVersionName, assetID, projectID, orgID) + if returnFunc, ok := ret.Get(1).(func(context.Context, shared.DB, *string, *uuid.UUID, *uuid.UUID, uuid.UUID, []shared.FilterQuery) error); ok { + r1 = returnFunc(ctx, tx, assetVersionName, assetID, projectID, orgID, filter) } else { r1 = ret.Error(1) } @@ -291,11 +401,12 @@ type CompliancePostureService_GetStatsForAllControls_Call struct { // - assetID *uuid.UUID // - projectID *uuid.UUID // - orgID uuid.UUID -func (_e *CompliancePostureService_Expecter) GetStatsForAllControls(ctx interface{}, tx interface{}, assetVersionName interface{}, assetID interface{}, projectID interface{}, orgID interface{}) *CompliancePostureService_GetStatsForAllControls_Call { - return &CompliancePostureService_GetStatsForAllControls_Call{Call: _e.mock.On("GetStatsForAllControls", ctx, tx, assetVersionName, assetID, projectID, orgID)} +// - filter []shared.FilterQuery +func (_e *CompliancePostureService_Expecter) GetStatsForAllControls(ctx interface{}, tx interface{}, assetVersionName interface{}, assetID interface{}, projectID interface{}, orgID interface{}, filter interface{}) *CompliancePostureService_GetStatsForAllControls_Call { + return &CompliancePostureService_GetStatsForAllControls_Call{Call: _e.mock.On("GetStatsForAllControls", ctx, tx, assetVersionName, assetID, projectID, orgID, filter)} } -func (_c *CompliancePostureService_GetStatsForAllControls_Call) Run(run func(ctx context.Context, tx shared.DB, assetVersionName *string, assetID *uuid.UUID, projectID *uuid.UUID, orgID uuid.UUID)) *CompliancePostureService_GetStatsForAllControls_Call { +func (_c *CompliancePostureService_GetStatsForAllControls_Call) Run(run func(ctx context.Context, tx shared.DB, assetVersionName *string, assetID *uuid.UUID, projectID *uuid.UUID, orgID uuid.UUID, filter []shared.FilterQuery)) *CompliancePostureService_GetStatsForAllControls_Call { _c.Call.Run(func(args mock.Arguments) { var arg0 context.Context if args[0] != nil { @@ -321,6 +432,10 @@ func (_c *CompliancePostureService_GetStatsForAllControls_Call) Run(run func(ctx if args[5] != nil { arg5 = args[5].(uuid.UUID) } + var arg6 []shared.FilterQuery + if args[6] != nil { + arg6 = args[6].([]shared.FilterQuery) + } run( arg0, arg1, @@ -328,6 +443,7 @@ func (_c *CompliancePostureService_GetStatsForAllControls_Call) Run(run func(ctx arg3, arg4, arg5, + arg6, ) }) return _c @@ -338,7 +454,7 @@ func (_c *CompliancePostureService_GetStatsForAllControls_Call) Return(complianc return _c } -func (_c *CompliancePostureService_GetStatsForAllControls_Call) RunAndReturn(run func(ctx context.Context, tx shared.DB, assetVersionName *string, assetID *uuid.UUID, projectID *uuid.UUID, orgID uuid.UUID) (dtos.CompliancePostureStatsDTO, error)) *CompliancePostureService_GetStatsForAllControls_Call { +func (_c *CompliancePostureService_GetStatsForAllControls_Call) RunAndReturn(run func(ctx context.Context, tx shared.DB, assetVersionName *string, assetID *uuid.UUID, projectID *uuid.UUID, orgID uuid.UUID, filter []shared.FilterQuery) (dtos.CompliancePostureStatsDTO, error)) *CompliancePostureService_GetStatsForAllControls_Call { _c.Call.Return(run) return _c } diff --git a/mocks/mock_FrameworkControlRepository.go b/mocks/mock_FrameworkControlRepository.go new file mode 100644 index 000000000..7f8193da3 --- /dev/null +++ b/mocks/mock_FrameworkControlRepository.go @@ -0,0 +1,1197 @@ +// Code generated by mockery; DO NOT EDIT. +// github.com/vektra/mockery +// template: testify + +package mocks + +import ( + "context" + + "github.com/google/uuid" + "github.com/l3montree-dev/devguard/database/models" + "github.com/l3montree-dev/devguard/shared" + mock "github.com/stretchr/testify/mock" + "gorm.io/gorm/clause" +) + +// NewFrameworkControlRepository creates a new instance of FrameworkControlRepository. It also registers a testing interface on the mock and a cleanup function to assert the mocks expectations. +// The first argument is typically a *testing.T value. +func NewFrameworkControlRepository(t interface { + mock.TestingT + Cleanup(func()) +}) *FrameworkControlRepository { + mock := &FrameworkControlRepository{} + mock.Mock.Test(t) + + t.Cleanup(func() { mock.AssertExpectations(t) }) + + return mock +} + +// FrameworkControlRepository is an autogenerated mock type for the FrameworkControlRepository type +type FrameworkControlRepository struct { + mock.Mock +} + +type FrameworkControlRepository_Expecter struct { + mock *mock.Mock +} + +func (_m *FrameworkControlRepository) EXPECT() *FrameworkControlRepository_Expecter { + return &FrameworkControlRepository_Expecter{mock: &_m.Mock} +} + +// Activate provides a mock function for the type FrameworkControlRepository +func (_mock *FrameworkControlRepository) Activate(ctx context.Context, tx shared.DB, id uuid.UUID) error { + ret := _mock.Called(ctx, tx, id) + + if len(ret) == 0 { + panic("no return value specified for Activate") + } + + var r0 error + if returnFunc, ok := ret.Get(0).(func(context.Context, shared.DB, uuid.UUID) error); ok { + r0 = returnFunc(ctx, tx, id) + } else { + r0 = ret.Error(0) + } + return r0 +} + +// FrameworkControlRepository_Activate_Call is a *mock.Call that shadows Run/Return methods with type explicit version for method 'Activate' +type FrameworkControlRepository_Activate_Call struct { + *mock.Call +} + +// Activate is a helper method to define mock.On call +// - ctx context.Context +// - tx shared.DB +// - id uuid.UUID +func (_e *FrameworkControlRepository_Expecter) Activate(ctx interface{}, tx interface{}, id interface{}) *FrameworkControlRepository_Activate_Call { + return &FrameworkControlRepository_Activate_Call{Call: _e.mock.On("Activate", ctx, tx, id)} +} + +func (_c *FrameworkControlRepository_Activate_Call) Run(run func(ctx context.Context, tx shared.DB, id uuid.UUID)) *FrameworkControlRepository_Activate_Call { + _c.Call.Run(func(args mock.Arguments) { + var arg0 context.Context + if args[0] != nil { + arg0 = args[0].(context.Context) + } + var arg1 shared.DB + if args[1] != nil { + arg1 = args[1].(shared.DB) + } + var arg2 uuid.UUID + if args[2] != nil { + arg2 = args[2].(uuid.UUID) + } + run( + arg0, + arg1, + arg2, + ) + }) + return _c +} + +func (_c *FrameworkControlRepository_Activate_Call) Return(err error) *FrameworkControlRepository_Activate_Call { + _c.Call.Return(err) + return _c +} + +func (_c *FrameworkControlRepository_Activate_Call) RunAndReturn(run func(ctx context.Context, tx shared.DB, id uuid.UUID) error) *FrameworkControlRepository_Activate_Call { + _c.Call.Return(run) + return _c +} + +// All provides a mock function for the type FrameworkControlRepository +func (_mock *FrameworkControlRepository) All(ctx context.Context, tx shared.DB) ([]models.FrameworkControl, error) { + ret := _mock.Called(ctx, tx) + + if len(ret) == 0 { + panic("no return value specified for All") + } + + var r0 []models.FrameworkControl + var r1 error + if returnFunc, ok := ret.Get(0).(func(context.Context, shared.DB) ([]models.FrameworkControl, error)); ok { + return returnFunc(ctx, tx) + } + if returnFunc, ok := ret.Get(0).(func(context.Context, shared.DB) []models.FrameworkControl); ok { + r0 = returnFunc(ctx, tx) + } else { + if ret.Get(0) != nil { + r0 = ret.Get(0).([]models.FrameworkControl) + } + } + if returnFunc, ok := ret.Get(1).(func(context.Context, shared.DB) error); ok { + r1 = returnFunc(ctx, tx) + } else { + r1 = ret.Error(1) + } + return r0, r1 +} + +// FrameworkControlRepository_All_Call is a *mock.Call that shadows Run/Return methods with type explicit version for method 'All' +type FrameworkControlRepository_All_Call struct { + *mock.Call +} + +// All is a helper method to define mock.On call +// - ctx context.Context +// - tx shared.DB +func (_e *FrameworkControlRepository_Expecter) All(ctx interface{}, tx interface{}) *FrameworkControlRepository_All_Call { + return &FrameworkControlRepository_All_Call{Call: _e.mock.On("All", ctx, tx)} +} + +func (_c *FrameworkControlRepository_All_Call) Run(run func(ctx context.Context, tx shared.DB)) *FrameworkControlRepository_All_Call { + _c.Call.Run(func(args mock.Arguments) { + var arg0 context.Context + if args[0] != nil { + arg0 = args[0].(context.Context) + } + var arg1 shared.DB + if args[1] != nil { + arg1 = args[1].(shared.DB) + } + run( + arg0, + arg1, + ) + }) + return _c +} + +func (_c *FrameworkControlRepository_All_Call) Return(frameworkControls []models.FrameworkControl, err error) *FrameworkControlRepository_All_Call { + _c.Call.Return(frameworkControls, err) + return _c +} + +func (_c *FrameworkControlRepository_All_Call) RunAndReturn(run func(ctx context.Context, tx shared.DB) ([]models.FrameworkControl, error)) *FrameworkControlRepository_All_Call { + _c.Call.Return(run) + return _c +} + +// Begin provides a mock function for the type FrameworkControlRepository +func (_mock *FrameworkControlRepository) Begin(ctx context.Context) shared.DB { + ret := _mock.Called(ctx) + + if len(ret) == 0 { + panic("no return value specified for Begin") + } + + var r0 shared.DB + if returnFunc, ok := ret.Get(0).(func(context.Context) shared.DB); ok { + r0 = returnFunc(ctx) + } else { + if ret.Get(0) != nil { + r0 = ret.Get(0).(shared.DB) + } + } + return r0 +} + +// FrameworkControlRepository_Begin_Call is a *mock.Call that shadows Run/Return methods with type explicit version for method 'Begin' +type FrameworkControlRepository_Begin_Call struct { + *mock.Call +} + +// Begin is a helper method to define mock.On call +// - ctx context.Context +func (_e *FrameworkControlRepository_Expecter) Begin(ctx interface{}) *FrameworkControlRepository_Begin_Call { + return &FrameworkControlRepository_Begin_Call{Call: _e.mock.On("Begin", ctx)} +} + +func (_c *FrameworkControlRepository_Begin_Call) Run(run func(ctx context.Context)) *FrameworkControlRepository_Begin_Call { + _c.Call.Run(func(args mock.Arguments) { + var arg0 context.Context + if args[0] != nil { + arg0 = args[0].(context.Context) + } + run( + arg0, + ) + }) + return _c +} + +func (_c *FrameworkControlRepository_Begin_Call) Return(v shared.DB) *FrameworkControlRepository_Begin_Call { + _c.Call.Return(v) + return _c +} + +func (_c *FrameworkControlRepository_Begin_Call) RunAndReturn(run func(ctx context.Context) shared.DB) *FrameworkControlRepository_Begin_Call { + _c.Call.Return(run) + return _c +} + +// CleanupOrphanedRecords provides a mock function for the type FrameworkControlRepository +func (_mock *FrameworkControlRepository) CleanupOrphanedRecords(ctx context.Context) error { + ret := _mock.Called(ctx) + + if len(ret) == 0 { + panic("no return value specified for CleanupOrphanedRecords") + } + + var r0 error + if returnFunc, ok := ret.Get(0).(func(context.Context) error); ok { + r0 = returnFunc(ctx) + } else { + r0 = ret.Error(0) + } + return r0 +} + +// FrameworkControlRepository_CleanupOrphanedRecords_Call is a *mock.Call that shadows Run/Return methods with type explicit version for method 'CleanupOrphanedRecords' +type FrameworkControlRepository_CleanupOrphanedRecords_Call struct { + *mock.Call +} + +// CleanupOrphanedRecords is a helper method to define mock.On call +// - ctx context.Context +func (_e *FrameworkControlRepository_Expecter) CleanupOrphanedRecords(ctx interface{}) *FrameworkControlRepository_CleanupOrphanedRecords_Call { + return &FrameworkControlRepository_CleanupOrphanedRecords_Call{Call: _e.mock.On("CleanupOrphanedRecords", ctx)} +} + +func (_c *FrameworkControlRepository_CleanupOrphanedRecords_Call) Run(run func(ctx context.Context)) *FrameworkControlRepository_CleanupOrphanedRecords_Call { + _c.Call.Run(func(args mock.Arguments) { + var arg0 context.Context + if args[0] != nil { + arg0 = args[0].(context.Context) + } + run( + arg0, + ) + }) + return _c +} + +func (_c *FrameworkControlRepository_CleanupOrphanedRecords_Call) Return(err error) *FrameworkControlRepository_CleanupOrphanedRecords_Call { + _c.Call.Return(err) + return _c +} + +func (_c *FrameworkControlRepository_CleanupOrphanedRecords_Call) RunAndReturn(run func(ctx context.Context) error) *FrameworkControlRepository_CleanupOrphanedRecords_Call { + _c.Call.Return(run) + return _c +} + +// Create provides a mock function for the type FrameworkControlRepository +func (_mock *FrameworkControlRepository) Create(ctx context.Context, tx shared.DB, t *models.FrameworkControl) error { + ret := _mock.Called(ctx, tx, t) + + if len(ret) == 0 { + panic("no return value specified for Create") + } + + var r0 error + if returnFunc, ok := ret.Get(0).(func(context.Context, shared.DB, *models.FrameworkControl) error); ok { + r0 = returnFunc(ctx, tx, t) + } else { + r0 = ret.Error(0) + } + return r0 +} + +// FrameworkControlRepository_Create_Call is a *mock.Call that shadows Run/Return methods with type explicit version for method 'Create' +type FrameworkControlRepository_Create_Call struct { + *mock.Call +} + +// Create is a helper method to define mock.On call +// - ctx context.Context +// - tx shared.DB +// - t *models.FrameworkControl +func (_e *FrameworkControlRepository_Expecter) Create(ctx interface{}, tx interface{}, t interface{}) *FrameworkControlRepository_Create_Call { + return &FrameworkControlRepository_Create_Call{Call: _e.mock.On("Create", ctx, tx, t)} +} + +func (_c *FrameworkControlRepository_Create_Call) Run(run func(ctx context.Context, tx shared.DB, t *models.FrameworkControl)) *FrameworkControlRepository_Create_Call { + _c.Call.Run(func(args mock.Arguments) { + var arg0 context.Context + if args[0] != nil { + arg0 = args[0].(context.Context) + } + var arg1 shared.DB + if args[1] != nil { + arg1 = args[1].(shared.DB) + } + var arg2 *models.FrameworkControl + if args[2] != nil { + arg2 = args[2].(*models.FrameworkControl) + } + run( + arg0, + arg1, + arg2, + ) + }) + return _c +} + +func (_c *FrameworkControlRepository_Create_Call) Return(err error) *FrameworkControlRepository_Create_Call { + _c.Call.Return(err) + return _c +} + +func (_c *FrameworkControlRepository_Create_Call) RunAndReturn(run func(ctx context.Context, tx shared.DB, t *models.FrameworkControl) error) *FrameworkControlRepository_Create_Call { + _c.Call.Return(run) + return _c +} + +// CreateBatch provides a mock function for the type FrameworkControlRepository +func (_mock *FrameworkControlRepository) CreateBatch(ctx context.Context, tx shared.DB, ts []models.FrameworkControl) error { + ret := _mock.Called(ctx, tx, ts) + + if len(ret) == 0 { + panic("no return value specified for CreateBatch") + } + + var r0 error + if returnFunc, ok := ret.Get(0).(func(context.Context, shared.DB, []models.FrameworkControl) error); ok { + r0 = returnFunc(ctx, tx, ts) + } else { + r0 = ret.Error(0) + } + return r0 +} + +// FrameworkControlRepository_CreateBatch_Call is a *mock.Call that shadows Run/Return methods with type explicit version for method 'CreateBatch' +type FrameworkControlRepository_CreateBatch_Call struct { + *mock.Call +} + +// CreateBatch is a helper method to define mock.On call +// - ctx context.Context +// - tx shared.DB +// - ts []models.FrameworkControl +func (_e *FrameworkControlRepository_Expecter) CreateBatch(ctx interface{}, tx interface{}, ts interface{}) *FrameworkControlRepository_CreateBatch_Call { + return &FrameworkControlRepository_CreateBatch_Call{Call: _e.mock.On("CreateBatch", ctx, tx, ts)} +} + +func (_c *FrameworkControlRepository_CreateBatch_Call) Run(run func(ctx context.Context, tx shared.DB, ts []models.FrameworkControl)) *FrameworkControlRepository_CreateBatch_Call { + _c.Call.Run(func(args mock.Arguments) { + var arg0 context.Context + if args[0] != nil { + arg0 = args[0].(context.Context) + } + var arg1 shared.DB + if args[1] != nil { + arg1 = args[1].(shared.DB) + } + var arg2 []models.FrameworkControl + if args[2] != nil { + arg2 = args[2].([]models.FrameworkControl) + } + run( + arg0, + arg1, + arg2, + ) + }) + return _c +} + +func (_c *FrameworkControlRepository_CreateBatch_Call) Return(err error) *FrameworkControlRepository_CreateBatch_Call { + _c.Call.Return(err) + return _c +} + +func (_c *FrameworkControlRepository_CreateBatch_Call) RunAndReturn(run func(ctx context.Context, tx shared.DB, ts []models.FrameworkControl) error) *FrameworkControlRepository_CreateBatch_Call { + _c.Call.Return(run) + return _c +} + +// Delete provides a mock function for the type FrameworkControlRepository +func (_mock *FrameworkControlRepository) Delete(ctx context.Context, tx shared.DB, id uuid.UUID) error { + ret := _mock.Called(ctx, tx, id) + + if len(ret) == 0 { + panic("no return value specified for Delete") + } + + var r0 error + if returnFunc, ok := ret.Get(0).(func(context.Context, shared.DB, uuid.UUID) error); ok { + r0 = returnFunc(ctx, tx, id) + } else { + r0 = ret.Error(0) + } + return r0 +} + +// FrameworkControlRepository_Delete_Call is a *mock.Call that shadows Run/Return methods with type explicit version for method 'Delete' +type FrameworkControlRepository_Delete_Call struct { + *mock.Call +} + +// Delete is a helper method to define mock.On call +// - ctx context.Context +// - tx shared.DB +// - id uuid.UUID +func (_e *FrameworkControlRepository_Expecter) Delete(ctx interface{}, tx interface{}, id interface{}) *FrameworkControlRepository_Delete_Call { + return &FrameworkControlRepository_Delete_Call{Call: _e.mock.On("Delete", ctx, tx, id)} +} + +func (_c *FrameworkControlRepository_Delete_Call) Run(run func(ctx context.Context, tx shared.DB, id uuid.UUID)) *FrameworkControlRepository_Delete_Call { + _c.Call.Run(func(args mock.Arguments) { + var arg0 context.Context + if args[0] != nil { + arg0 = args[0].(context.Context) + } + var arg1 shared.DB + if args[1] != nil { + arg1 = args[1].(shared.DB) + } + var arg2 uuid.UUID + if args[2] != nil { + arg2 = args[2].(uuid.UUID) + } + run( + arg0, + arg1, + arg2, + ) + }) + return _c +} + +func (_c *FrameworkControlRepository_Delete_Call) Return(err error) *FrameworkControlRepository_Delete_Call { + _c.Call.Return(err) + return _c +} + +func (_c *FrameworkControlRepository_Delete_Call) RunAndReturn(run func(ctx context.Context, tx shared.DB, id uuid.UUID) error) *FrameworkControlRepository_Delete_Call { + _c.Call.Return(run) + return _c +} + +// DeleteBatch provides a mock function for the type FrameworkControlRepository +func (_mock *FrameworkControlRepository) DeleteBatch(ctx context.Context, tx shared.DB, ids []models.FrameworkControl) error { + ret := _mock.Called(ctx, tx, ids) + + if len(ret) == 0 { + panic("no return value specified for DeleteBatch") + } + + var r0 error + if returnFunc, ok := ret.Get(0).(func(context.Context, shared.DB, []models.FrameworkControl) error); ok { + r0 = returnFunc(ctx, tx, ids) + } else { + r0 = ret.Error(0) + } + return r0 +} + +// FrameworkControlRepository_DeleteBatch_Call is a *mock.Call that shadows Run/Return methods with type explicit version for method 'DeleteBatch' +type FrameworkControlRepository_DeleteBatch_Call struct { + *mock.Call +} + +// DeleteBatch is a helper method to define mock.On call +// - ctx context.Context +// - tx shared.DB +// - ids []models.FrameworkControl +func (_e *FrameworkControlRepository_Expecter) DeleteBatch(ctx interface{}, tx interface{}, ids interface{}) *FrameworkControlRepository_DeleteBatch_Call { + return &FrameworkControlRepository_DeleteBatch_Call{Call: _e.mock.On("DeleteBatch", ctx, tx, ids)} +} + +func (_c *FrameworkControlRepository_DeleteBatch_Call) Run(run func(ctx context.Context, tx shared.DB, ids []models.FrameworkControl)) *FrameworkControlRepository_DeleteBatch_Call { + _c.Call.Run(func(args mock.Arguments) { + var arg0 context.Context + if args[0] != nil { + arg0 = args[0].(context.Context) + } + var arg1 shared.DB + if args[1] != nil { + arg1 = args[1].(shared.DB) + } + var arg2 []models.FrameworkControl + if args[2] != nil { + arg2 = args[2].([]models.FrameworkControl) + } + run( + arg0, + arg1, + arg2, + ) + }) + return _c +} + +func (_c *FrameworkControlRepository_DeleteBatch_Call) Return(err error) *FrameworkControlRepository_DeleteBatch_Call { + _c.Call.Return(err) + return _c +} + +func (_c *FrameworkControlRepository_DeleteBatch_Call) RunAndReturn(run func(ctx context.Context, tx shared.DB, ids []models.FrameworkControl) error) *FrameworkControlRepository_DeleteBatch_Call { + _c.Call.Return(run) + return _c +} + +// GetAll provides a mock function for the type FrameworkControlRepository +func (_mock *FrameworkControlRepository) GetAll(ctx context.Context, tx shared.DB, framework *string) ([]models.FrameworkControl, error) { + ret := _mock.Called(ctx, tx, framework) + + if len(ret) == 0 { + panic("no return value specified for GetAll") + } + + var r0 []models.FrameworkControl + var r1 error + if returnFunc, ok := ret.Get(0).(func(context.Context, shared.DB, *string) ([]models.FrameworkControl, error)); ok { + return returnFunc(ctx, tx, framework) + } + if returnFunc, ok := ret.Get(0).(func(context.Context, shared.DB, *string) []models.FrameworkControl); ok { + r0 = returnFunc(ctx, tx, framework) + } else { + if ret.Get(0) != nil { + r0 = ret.Get(0).([]models.FrameworkControl) + } + } + if returnFunc, ok := ret.Get(1).(func(context.Context, shared.DB, *string) error); ok { + r1 = returnFunc(ctx, tx, framework) + } else { + r1 = ret.Error(1) + } + return r0, r1 +} + +// FrameworkControlRepository_GetAll_Call is a *mock.Call that shadows Run/Return methods with type explicit version for method 'GetAll' +type FrameworkControlRepository_GetAll_Call struct { + *mock.Call +} + +// GetAll is a helper method to define mock.On call +// - ctx context.Context +// - tx shared.DB +// - framework *string +func (_e *FrameworkControlRepository_Expecter) GetAll(ctx interface{}, tx interface{}, framework interface{}) *FrameworkControlRepository_GetAll_Call { + return &FrameworkControlRepository_GetAll_Call{Call: _e.mock.On("GetAll", ctx, tx, framework)} +} + +func (_c *FrameworkControlRepository_GetAll_Call) Run(run func(ctx context.Context, tx shared.DB, framework *string)) *FrameworkControlRepository_GetAll_Call { + _c.Call.Run(func(args mock.Arguments) { + var arg0 context.Context + if args[0] != nil { + arg0 = args[0].(context.Context) + } + var arg1 shared.DB + if args[1] != nil { + arg1 = args[1].(shared.DB) + } + var arg2 *string + if args[2] != nil { + arg2 = args[2].(*string) + } + run( + arg0, + arg1, + arg2, + ) + }) + return _c +} + +func (_c *FrameworkControlRepository_GetAll_Call) Return(frameworkControls []models.FrameworkControl, err error) *FrameworkControlRepository_GetAll_Call { + _c.Call.Return(frameworkControls, err) + return _c +} + +func (_c *FrameworkControlRepository_GetAll_Call) RunAndReturn(run func(ctx context.Context, tx shared.DB, framework *string) ([]models.FrameworkControl, error)) *FrameworkControlRepository_GetAll_Call { + _c.Call.Return(run) + return _c +} + +// GetDB provides a mock function for the type FrameworkControlRepository +func (_mock *FrameworkControlRepository) GetDB(ctx context.Context, tx shared.DB) shared.DB { + ret := _mock.Called(ctx, tx) + + if len(ret) == 0 { + panic("no return value specified for GetDB") + } + + var r0 shared.DB + if returnFunc, ok := ret.Get(0).(func(context.Context, shared.DB) shared.DB); ok { + r0 = returnFunc(ctx, tx) + } else { + if ret.Get(0) != nil { + r0 = ret.Get(0).(shared.DB) + } + } + return r0 +} + +// FrameworkControlRepository_GetDB_Call is a *mock.Call that shadows Run/Return methods with type explicit version for method 'GetDB' +type FrameworkControlRepository_GetDB_Call struct { + *mock.Call +} + +// GetDB is a helper method to define mock.On call +// - ctx context.Context +// - tx shared.DB +func (_e *FrameworkControlRepository_Expecter) GetDB(ctx interface{}, tx interface{}) *FrameworkControlRepository_GetDB_Call { + return &FrameworkControlRepository_GetDB_Call{Call: _e.mock.On("GetDB", ctx, tx)} +} + +func (_c *FrameworkControlRepository_GetDB_Call) Run(run func(ctx context.Context, tx shared.DB)) *FrameworkControlRepository_GetDB_Call { + _c.Call.Run(func(args mock.Arguments) { + var arg0 context.Context + if args[0] != nil { + arg0 = args[0].(context.Context) + } + var arg1 shared.DB + if args[1] != nil { + arg1 = args[1].(shared.DB) + } + run( + arg0, + arg1, + ) + }) + return _c +} + +func (_c *FrameworkControlRepository_GetDB_Call) Return(v shared.DB) *FrameworkControlRepository_GetDB_Call { + _c.Call.Return(v) + return _c +} + +func (_c *FrameworkControlRepository_GetDB_Call) RunAndReturn(run func(ctx context.Context, tx shared.DB) shared.DB) *FrameworkControlRepository_GetDB_Call { + _c.Call.Return(run) + return _c +} + +// List provides a mock function for the type FrameworkControlRepository +func (_mock *FrameworkControlRepository) List(ctx context.Context, tx shared.DB, ids []uuid.UUID) ([]models.FrameworkControl, error) { + ret := _mock.Called(ctx, tx, ids) + + if len(ret) == 0 { + panic("no return value specified for List") + } + + var r0 []models.FrameworkControl + var r1 error + if returnFunc, ok := ret.Get(0).(func(context.Context, shared.DB, []uuid.UUID) ([]models.FrameworkControl, error)); ok { + return returnFunc(ctx, tx, ids) + } + if returnFunc, ok := ret.Get(0).(func(context.Context, shared.DB, []uuid.UUID) []models.FrameworkControl); ok { + r0 = returnFunc(ctx, tx, ids) + } else { + if ret.Get(0) != nil { + r0 = ret.Get(0).([]models.FrameworkControl) + } + } + if returnFunc, ok := ret.Get(1).(func(context.Context, shared.DB, []uuid.UUID) error); ok { + r1 = returnFunc(ctx, tx, ids) + } else { + r1 = ret.Error(1) + } + return r0, r1 +} + +// FrameworkControlRepository_List_Call is a *mock.Call that shadows Run/Return methods with type explicit version for method 'List' +type FrameworkControlRepository_List_Call struct { + *mock.Call +} + +// List is a helper method to define mock.On call +// - ctx context.Context +// - tx shared.DB +// - ids []uuid.UUID +func (_e *FrameworkControlRepository_Expecter) List(ctx interface{}, tx interface{}, ids interface{}) *FrameworkControlRepository_List_Call { + return &FrameworkControlRepository_List_Call{Call: _e.mock.On("List", ctx, tx, ids)} +} + +func (_c *FrameworkControlRepository_List_Call) Run(run func(ctx context.Context, tx shared.DB, ids []uuid.UUID)) *FrameworkControlRepository_List_Call { + _c.Call.Run(func(args mock.Arguments) { + var arg0 context.Context + if args[0] != nil { + arg0 = args[0].(context.Context) + } + var arg1 shared.DB + if args[1] != nil { + arg1 = args[1].(shared.DB) + } + var arg2 []uuid.UUID + if args[2] != nil { + arg2 = args[2].([]uuid.UUID) + } + run( + arg0, + arg1, + arg2, + ) + }) + return _c +} + +func (_c *FrameworkControlRepository_List_Call) Return(frameworkControls []models.FrameworkControl, err error) *FrameworkControlRepository_List_Call { + _c.Call.Return(frameworkControls, err) + return _c +} + +func (_c *FrameworkControlRepository_List_Call) RunAndReturn(run func(ctx context.Context, tx shared.DB, ids []uuid.UUID) ([]models.FrameworkControl, error)) *FrameworkControlRepository_List_Call { + _c.Call.Return(run) + return _c +} + +// ListFrameworkControls provides a mock function for the type FrameworkControlRepository +func (_mock *FrameworkControlRepository) ListFrameworkControls(ctx context.Context, tx shared.DB) ([]string, error) { + ret := _mock.Called(ctx, tx) + + if len(ret) == 0 { + panic("no return value specified for ListFrameworkControls") + } + + var r0 []string + var r1 error + if returnFunc, ok := ret.Get(0).(func(context.Context, shared.DB) ([]string, error)); ok { + return returnFunc(ctx, tx) + } + if returnFunc, ok := ret.Get(0).(func(context.Context, shared.DB) []string); ok { + r0 = returnFunc(ctx, tx) + } else { + if ret.Get(0) != nil { + r0 = ret.Get(0).([]string) + } + } + if returnFunc, ok := ret.Get(1).(func(context.Context, shared.DB) error); ok { + r1 = returnFunc(ctx, tx) + } else { + r1 = ret.Error(1) + } + return r0, r1 +} + +// FrameworkControlRepository_ListFrameworkControls_Call is a *mock.Call that shadows Run/Return methods with type explicit version for method 'ListFrameworkControls' +type FrameworkControlRepository_ListFrameworkControls_Call struct { + *mock.Call +} + +// ListFrameworkControls is a helper method to define mock.On call +// - ctx context.Context +// - tx shared.DB +func (_e *FrameworkControlRepository_Expecter) ListFrameworkControls(ctx interface{}, tx interface{}) *FrameworkControlRepository_ListFrameworkControls_Call { + return &FrameworkControlRepository_ListFrameworkControls_Call{Call: _e.mock.On("ListFrameworkControls", ctx, tx)} +} + +func (_c *FrameworkControlRepository_ListFrameworkControls_Call) Run(run func(ctx context.Context, tx shared.DB)) *FrameworkControlRepository_ListFrameworkControls_Call { + _c.Call.Run(func(args mock.Arguments) { + var arg0 context.Context + if args[0] != nil { + arg0 = args[0].(context.Context) + } + var arg1 shared.DB + if args[1] != nil { + arg1 = args[1].(shared.DB) + } + run( + arg0, + arg1, + ) + }) + return _c +} + +func (_c *FrameworkControlRepository_ListFrameworkControls_Call) Return(strings []string, err error) *FrameworkControlRepository_ListFrameworkControls_Call { + _c.Call.Return(strings, err) + return _c +} + +func (_c *FrameworkControlRepository_ListFrameworkControls_Call) RunAndReturn(run func(ctx context.Context, tx shared.DB) ([]string, error)) *FrameworkControlRepository_ListFrameworkControls_Call { + _c.Call.Return(run) + return _c +} + +// Read provides a mock function for the type FrameworkControlRepository +func (_mock *FrameworkControlRepository) Read(ctx context.Context, tx shared.DB, id uuid.UUID) (models.FrameworkControl, error) { + ret := _mock.Called(ctx, tx, id) + + if len(ret) == 0 { + panic("no return value specified for Read") + } + + var r0 models.FrameworkControl + var r1 error + if returnFunc, ok := ret.Get(0).(func(context.Context, shared.DB, uuid.UUID) (models.FrameworkControl, error)); ok { + return returnFunc(ctx, tx, id) + } + if returnFunc, ok := ret.Get(0).(func(context.Context, shared.DB, uuid.UUID) models.FrameworkControl); ok { + r0 = returnFunc(ctx, tx, id) + } else { + r0 = ret.Get(0).(models.FrameworkControl) + } + if returnFunc, ok := ret.Get(1).(func(context.Context, shared.DB, uuid.UUID) error); ok { + r1 = returnFunc(ctx, tx, id) + } else { + r1 = ret.Error(1) + } + return r0, r1 +} + +// FrameworkControlRepository_Read_Call is a *mock.Call that shadows Run/Return methods with type explicit version for method 'Read' +type FrameworkControlRepository_Read_Call struct { + *mock.Call +} + +// Read is a helper method to define mock.On call +// - ctx context.Context +// - tx shared.DB +// - id uuid.UUID +func (_e *FrameworkControlRepository_Expecter) Read(ctx interface{}, tx interface{}, id interface{}) *FrameworkControlRepository_Read_Call { + return &FrameworkControlRepository_Read_Call{Call: _e.mock.On("Read", ctx, tx, id)} +} + +func (_c *FrameworkControlRepository_Read_Call) Run(run func(ctx context.Context, tx shared.DB, id uuid.UUID)) *FrameworkControlRepository_Read_Call { + _c.Call.Run(func(args mock.Arguments) { + var arg0 context.Context + if args[0] != nil { + arg0 = args[0].(context.Context) + } + var arg1 shared.DB + if args[1] != nil { + arg1 = args[1].(shared.DB) + } + var arg2 uuid.UUID + if args[2] != nil { + arg2 = args[2].(uuid.UUID) + } + run( + arg0, + arg1, + arg2, + ) + }) + return _c +} + +func (_c *FrameworkControlRepository_Read_Call) Return(frameworkControl models.FrameworkControl, err error) *FrameworkControlRepository_Read_Call { + _c.Call.Return(frameworkControl, err) + return _c +} + +func (_c *FrameworkControlRepository_Read_Call) RunAndReturn(run func(ctx context.Context, tx shared.DB, id uuid.UUID) (models.FrameworkControl, error)) *FrameworkControlRepository_Read_Call { + _c.Call.Return(run) + return _c +} + +// Save provides a mock function for the type FrameworkControlRepository +func (_mock *FrameworkControlRepository) Save(ctx context.Context, tx shared.DB, t *models.FrameworkControl) error { + ret := _mock.Called(ctx, tx, t) + + if len(ret) == 0 { + panic("no return value specified for Save") + } + + var r0 error + if returnFunc, ok := ret.Get(0).(func(context.Context, shared.DB, *models.FrameworkControl) error); ok { + r0 = returnFunc(ctx, tx, t) + } else { + r0 = ret.Error(0) + } + return r0 +} + +// FrameworkControlRepository_Save_Call is a *mock.Call that shadows Run/Return methods with type explicit version for method 'Save' +type FrameworkControlRepository_Save_Call struct { + *mock.Call +} + +// Save is a helper method to define mock.On call +// - ctx context.Context +// - tx shared.DB +// - t *models.FrameworkControl +func (_e *FrameworkControlRepository_Expecter) Save(ctx interface{}, tx interface{}, t interface{}) *FrameworkControlRepository_Save_Call { + return &FrameworkControlRepository_Save_Call{Call: _e.mock.On("Save", ctx, tx, t)} +} + +func (_c *FrameworkControlRepository_Save_Call) Run(run func(ctx context.Context, tx shared.DB, t *models.FrameworkControl)) *FrameworkControlRepository_Save_Call { + _c.Call.Run(func(args mock.Arguments) { + var arg0 context.Context + if args[0] != nil { + arg0 = args[0].(context.Context) + } + var arg1 shared.DB + if args[1] != nil { + arg1 = args[1].(shared.DB) + } + var arg2 *models.FrameworkControl + if args[2] != nil { + arg2 = args[2].(*models.FrameworkControl) + } + run( + arg0, + arg1, + arg2, + ) + }) + return _c +} + +func (_c *FrameworkControlRepository_Save_Call) Return(err error) *FrameworkControlRepository_Save_Call { + _c.Call.Return(err) + return _c +} + +func (_c *FrameworkControlRepository_Save_Call) RunAndReturn(run func(ctx context.Context, tx shared.DB, t *models.FrameworkControl) error) *FrameworkControlRepository_Save_Call { + _c.Call.Return(run) + return _c +} + +// SaveBatch provides a mock function for the type FrameworkControlRepository +func (_mock *FrameworkControlRepository) SaveBatch(ctx context.Context, tx shared.DB, ts []models.FrameworkControl) error { + ret := _mock.Called(ctx, tx, ts) + + if len(ret) == 0 { + panic("no return value specified for SaveBatch") + } + + var r0 error + if returnFunc, ok := ret.Get(0).(func(context.Context, shared.DB, []models.FrameworkControl) error); ok { + r0 = returnFunc(ctx, tx, ts) + } else { + r0 = ret.Error(0) + } + return r0 +} + +// FrameworkControlRepository_SaveBatch_Call is a *mock.Call that shadows Run/Return methods with type explicit version for method 'SaveBatch' +type FrameworkControlRepository_SaveBatch_Call struct { + *mock.Call +} + +// SaveBatch is a helper method to define mock.On call +// - ctx context.Context +// - tx shared.DB +// - ts []models.FrameworkControl +func (_e *FrameworkControlRepository_Expecter) SaveBatch(ctx interface{}, tx interface{}, ts interface{}) *FrameworkControlRepository_SaveBatch_Call { + return &FrameworkControlRepository_SaveBatch_Call{Call: _e.mock.On("SaveBatch", ctx, tx, ts)} +} + +func (_c *FrameworkControlRepository_SaveBatch_Call) Run(run func(ctx context.Context, tx shared.DB, ts []models.FrameworkControl)) *FrameworkControlRepository_SaveBatch_Call { + _c.Call.Run(func(args mock.Arguments) { + var arg0 context.Context + if args[0] != nil { + arg0 = args[0].(context.Context) + } + var arg1 shared.DB + if args[1] != nil { + arg1 = args[1].(shared.DB) + } + var arg2 []models.FrameworkControl + if args[2] != nil { + arg2 = args[2].([]models.FrameworkControl) + } + run( + arg0, + arg1, + arg2, + ) + }) + return _c +} + +func (_c *FrameworkControlRepository_SaveBatch_Call) Return(err error) *FrameworkControlRepository_SaveBatch_Call { + _c.Call.Return(err) + return _c +} + +func (_c *FrameworkControlRepository_SaveBatch_Call) RunAndReturn(run func(ctx context.Context, tx shared.DB, ts []models.FrameworkControl) error) *FrameworkControlRepository_SaveBatch_Call { + _c.Call.Return(run) + return _c +} + +// SaveBatchBestEffort provides a mock function for the type FrameworkControlRepository +func (_mock *FrameworkControlRepository) SaveBatchBestEffort(ctx context.Context, tx shared.DB, ts []models.FrameworkControl) error { + ret := _mock.Called(ctx, tx, ts) + + if len(ret) == 0 { + panic("no return value specified for SaveBatchBestEffort") + } + + var r0 error + if returnFunc, ok := ret.Get(0).(func(context.Context, shared.DB, []models.FrameworkControl) error); ok { + r0 = returnFunc(ctx, tx, ts) + } else { + r0 = ret.Error(0) + } + return r0 +} + +// FrameworkControlRepository_SaveBatchBestEffort_Call is a *mock.Call that shadows Run/Return methods with type explicit version for method 'SaveBatchBestEffort' +type FrameworkControlRepository_SaveBatchBestEffort_Call struct { + *mock.Call +} + +// SaveBatchBestEffort is a helper method to define mock.On call +// - ctx context.Context +// - tx shared.DB +// - ts []models.FrameworkControl +func (_e *FrameworkControlRepository_Expecter) SaveBatchBestEffort(ctx interface{}, tx interface{}, ts interface{}) *FrameworkControlRepository_SaveBatchBestEffort_Call { + return &FrameworkControlRepository_SaveBatchBestEffort_Call{Call: _e.mock.On("SaveBatchBestEffort", ctx, tx, ts)} +} + +func (_c *FrameworkControlRepository_SaveBatchBestEffort_Call) Run(run func(ctx context.Context, tx shared.DB, ts []models.FrameworkControl)) *FrameworkControlRepository_SaveBatchBestEffort_Call { + _c.Call.Run(func(args mock.Arguments) { + var arg0 context.Context + if args[0] != nil { + arg0 = args[0].(context.Context) + } + var arg1 shared.DB + if args[1] != nil { + arg1 = args[1].(shared.DB) + } + var arg2 []models.FrameworkControl + if args[2] != nil { + arg2 = args[2].([]models.FrameworkControl) + } + run( + arg0, + arg1, + arg2, + ) + }) + return _c +} + +func (_c *FrameworkControlRepository_SaveBatchBestEffort_Call) Return(err error) *FrameworkControlRepository_SaveBatchBestEffort_Call { + _c.Call.Return(err) + return _c +} + +func (_c *FrameworkControlRepository_SaveBatchBestEffort_Call) RunAndReturn(run func(ctx context.Context, tx shared.DB, ts []models.FrameworkControl) error) *FrameworkControlRepository_SaveBatchBestEffort_Call { + _c.Call.Return(run) + return _c +} + +// Transaction provides a mock function for the type FrameworkControlRepository +func (_mock *FrameworkControlRepository) Transaction(ctx context.Context, fn func(tx shared.DB) error) error { + ret := _mock.Called(ctx, fn) + + if len(ret) == 0 { + panic("no return value specified for Transaction") + } + + var r0 error + if returnFunc, ok := ret.Get(0).(func(context.Context, func(tx shared.DB) error) error); ok { + r0 = returnFunc(ctx, fn) + } else { + r0 = ret.Error(0) + } + return r0 +} + +// FrameworkControlRepository_Transaction_Call is a *mock.Call that shadows Run/Return methods with type explicit version for method 'Transaction' +type FrameworkControlRepository_Transaction_Call struct { + *mock.Call +} + +// Transaction is a helper method to define mock.On call +// - ctx context.Context +// - fn func(tx shared.DB) error +func (_e *FrameworkControlRepository_Expecter) Transaction(ctx interface{}, fn interface{}) *FrameworkControlRepository_Transaction_Call { + return &FrameworkControlRepository_Transaction_Call{Call: _e.mock.On("Transaction", ctx, fn)} +} + +func (_c *FrameworkControlRepository_Transaction_Call) Run(run func(ctx context.Context, fn func(tx shared.DB) error)) *FrameworkControlRepository_Transaction_Call { + _c.Call.Run(func(args mock.Arguments) { + var arg0 context.Context + if args[0] != nil { + arg0 = args[0].(context.Context) + } + var arg1 func(tx shared.DB) error + if args[1] != nil { + arg1 = args[1].(func(tx shared.DB) error) + } + run( + arg0, + arg1, + ) + }) + return _c +} + +func (_c *FrameworkControlRepository_Transaction_Call) Return(err error) *FrameworkControlRepository_Transaction_Call { + _c.Call.Return(err) + return _c +} + +func (_c *FrameworkControlRepository_Transaction_Call) RunAndReturn(run func(ctx context.Context, fn func(tx shared.DB) error) error) *FrameworkControlRepository_Transaction_Call { + _c.Call.Return(run) + return _c +} + +// Upsert provides a mock function for the type FrameworkControlRepository +func (_mock *FrameworkControlRepository) Upsert(ctx context.Context, tx shared.DB, t *[]*models.FrameworkControl, conflictingColumns []clause.Column, updateOnly []string) error { + ret := _mock.Called(ctx, tx, t, conflictingColumns, updateOnly) + + if len(ret) == 0 { + panic("no return value specified for Upsert") + } + + var r0 error + if returnFunc, ok := ret.Get(0).(func(context.Context, shared.DB, *[]*models.FrameworkControl, []clause.Column, []string) error); ok { + r0 = returnFunc(ctx, tx, t, conflictingColumns, updateOnly) + } else { + r0 = ret.Error(0) + } + return r0 +} + +// FrameworkControlRepository_Upsert_Call is a *mock.Call that shadows Run/Return methods with type explicit version for method 'Upsert' +type FrameworkControlRepository_Upsert_Call struct { + *mock.Call +} + +// Upsert is a helper method to define mock.On call +// - ctx context.Context +// - tx shared.DB +// - t *[]*models.FrameworkControl +// - conflictingColumns []clause.Column +// - updateOnly []string +func (_e *FrameworkControlRepository_Expecter) Upsert(ctx interface{}, tx interface{}, t interface{}, conflictingColumns interface{}, updateOnly interface{}) *FrameworkControlRepository_Upsert_Call { + return &FrameworkControlRepository_Upsert_Call{Call: _e.mock.On("Upsert", ctx, tx, t, conflictingColumns, updateOnly)} +} + +func (_c *FrameworkControlRepository_Upsert_Call) Run(run func(ctx context.Context, tx shared.DB, t *[]*models.FrameworkControl, conflictingColumns []clause.Column, updateOnly []string)) *FrameworkControlRepository_Upsert_Call { + _c.Call.Run(func(args mock.Arguments) { + var arg0 context.Context + if args[0] != nil { + arg0 = args[0].(context.Context) + } + var arg1 shared.DB + if args[1] != nil { + arg1 = args[1].(shared.DB) + } + var arg2 *[]*models.FrameworkControl + if args[2] != nil { + arg2 = args[2].(*[]*models.FrameworkControl) + } + var arg3 []clause.Column + if args[3] != nil { + arg3 = args[3].([]clause.Column) + } + var arg4 []string + if args[4] != nil { + arg4 = args[4].([]string) + } + run( + arg0, + arg1, + arg2, + arg3, + arg4, + ) + }) + return _c +} + +func (_c *FrameworkControlRepository_Upsert_Call) Return(err error) *FrameworkControlRepository_Upsert_Call { + _c.Call.Return(err) + return _c +} + +func (_c *FrameworkControlRepository_Upsert_Call) RunAndReturn(run func(ctx context.Context, tx shared.DB, t *[]*models.FrameworkControl, conflictingColumns []clause.Column, updateOnly []string) error) *FrameworkControlRepository_Upsert_Call { + _c.Call.Return(run) + return _c +} From 46537814b5958cef1a65ff501100510f745ae5a8 Mon Sep 17 00:00:00 2001 From: rafi Date: Mon, 13 Jul 2026 17:36:28 +0200 Subject: [PATCH 07/16] fix lint Signed-off-by: rafi --- transformer/compliance_posture_transformer.go | 2 +- 1 file changed, 1 insertion(+), 1 deletion(-) diff --git a/transformer/compliance_posture_transformer.go b/transformer/compliance_posture_transformer.go index c16633a8a..a24b49c9b 100644 --- a/transformer/compliance_posture_transformer.go +++ b/transformer/compliance_posture_transformer.go @@ -73,7 +73,7 @@ func CompliancePostureToDTO(c models.CompliancePosture) dtos.CompliancePostureWi } func handleFrameworkControlID(frameworkControlID string) string { - frameworkControlID = strings.Replace(frameworkControlID, ":", "-", -1) + frameworkControlID = strings.ReplaceAll(frameworkControlID, ":", "-") return uuid.NewSHA1(uuid.NameSpaceURL, []byte(frameworkControlID)).String() } From 40f9c89fe94116c3beccd827ff381cf1a395f368 Mon Sep 17 00:00:00 2001 From: Tim Bastin Date: Wed, 15 Jul 2026 13:02:53 +0200 Subject: [PATCH 08/16] moves compliance files to compliance package, using migration to seed framework controls --- cmd/devguard-cli/commands/hash_migration.go | 9 +++++ cmd/devguard/main.go | 40 ------------------- .../Grundschutz++-catalog.json | 0 .../Grundschutz++_License.md | 0 {vulndb/compliance => compliance}/SCF.json | 0 .../compliance => compliance}/SCF_License.md | 0 compliance/compliance.go | 36 +++++++++++++++++ .../grundschutz_service.go | 5 +-- .../compliance => compliance}/oscal_insert.go | 2 +- .../oscal_insert_test.go | 2 +- .../oscal_service.go | 2 +- .../compliance => compliance}/scf_service.go | 4 +- controllers/compliance_posture_controller.go | 5 ++- ...260707000000_create_mapped_controls.up.sql | 11 ----- ...13120001_add_compliance_frameworks.up.sql} | 6 +-- ...3120002_create_compliance_postures.up.sql} | 11 +++-- ...260713120003_create_mapped_controls.up.sql | 10 +++++ 17 files changed, 75 insertions(+), 68 deletions(-) rename {vulndb/compliance => compliance}/Grundschutz++-catalog.json (100%) rename {vulndb/compliance => compliance}/Grundschutz++_License.md (100%) rename {vulndb/compliance => compliance}/SCF.json (100%) rename {vulndb/compliance => compliance}/SCF_License.md (100%) create mode 100644 compliance/compliance.go rename {vulndb/compliance => compliance}/grundschutz_service.go (96%) rename {vulndb/compliance => compliance}/oscal_insert.go (99%) rename {vulndb/compliance => compliance}/oscal_insert_test.go (99%) rename {vulndb/compliance => compliance}/oscal_service.go (99%) rename {vulndb/compliance => compliance}/scf_service.go (95%) delete mode 100644 database/migrations/20260707000000_create_mapped_controls.up.sql rename database/migrations/{20260625000000_add_compliance_frameworks.up.sql => 20260713120001_add_compliance_frameworks.up.sql} (82%) rename database/migrations/{20260625000001_create_compliance_postures.up.sql => 20260713120002_create_compliance_postures.up.sql} (81%) create mode 100644 database/migrations/20260713120003_create_mapped_controls.up.sql diff --git a/cmd/devguard-cli/commands/hash_migration.go b/cmd/devguard-cli/commands/hash_migration.go index cdd8aa68e..e8cfd97c0 100644 --- a/cmd/devguard-cli/commands/hash_migration.go +++ b/cmd/devguard-cli/commands/hash_migration.go @@ -23,6 +23,7 @@ import ( "github.com/jackc/pgx/v5/pgxpool" "github.com/l3montree-dev/devguard/accesscontrol" "github.com/l3montree-dev/devguard/cmd/devguard-cli/hashmigrations" + "github.com/l3montree-dev/devguard/compliance" "github.com/l3montree-dev/devguard/controllers" "github.com/l3montree-dev/devguard/daemons" "github.com/l3montree-dev/devguard/database" @@ -92,6 +93,14 @@ func runMigrations() error { } slog.Info("hash migration check completed", "duration", time.Since(start)) + + db := database.NewGormDB(pool) + slog.Info("loading compliance controls into database...") + if err := compliance.LoadControlsIntoDB(db); err != nil { + slog.Error("failed to load compliance controls", "err", err) + migrationErr = err + return + } }), ) diff --git a/cmd/devguard/main.go b/cmd/devguard/main.go index 9cac97b98..c4a602f81 100644 --- a/cmd/devguard/main.go +++ b/cmd/devguard/main.go @@ -38,7 +38,6 @@ import ( "github.com/l3montree-dev/devguard/telemetry" "github.com/l3montree-dev/devguard/utils" "github.com/l3montree-dev/devguard/vulndb" - vulndbcompliance "github.com/l3montree-dev/devguard/vulndb/compliance" "go.opentelemetry.io/otel" "go.opentelemetry.io/otel/exporters/otlp/otlptrace/otlptracegrpc" "go.opentelemetry.io/otel/exporters/otlp/otlptrace/otlptracehttp" @@ -47,7 +46,6 @@ import ( "go.opentelemetry.io/otel/sdk/resource" sdktrace "go.opentelemetry.io/otel/sdk/trace" semconv "go.opentelemetry.io/otel/semconv/v1.26.0" - "gorm.io/gorm/clause" "github.com/l3montree-dev/devguard/router" "github.com/l3montree-dev/devguard/services" @@ -167,44 +165,6 @@ func main() { }, }) }), - //TODO: add a migration system to avoid this - fx.Invoke(func(lc fx.Lifecycle, db shared.DB) { - lc.Append(fx.Hook{ - OnStart: func(ctx context.Context) error { - - go func() { - controls, err := vulndbcompliance.LoadGrundschutzControls() - if err != nil { - slog.Error("could not load Grundschutz++ controls", "err", err) - return - } - if err := db.WithContext(context.Background()).Clauses(clause.OnConflict{ - Columns: []clause.Column{{Name: "framework"}, {Name: "control_id"}}, - UpdateAll: true, - }).CreateInBatches(&controls, 100).Error; err != nil { - slog.Error("could not seed Grundschutz++ controls", "err", err) - return - } - slog.Info("seeded Grundschutz++ controls", "count", len(controls)) - - controls, err = vulndbcompliance.LoadSCFControls() - if err != nil { - slog.Error("could not load SCF controls", "err", err) - return - } - if err := db.WithContext(context.Background()).Clauses(clause.OnConflict{ - Columns: []clause.Column{{Name: "framework"}, {Name: "control_id"}}, - UpdateAll: true, - }).CreateInBatches(&controls, 100).Error; err != nil { - slog.Error("could not seed SCF controls", "err", err) - return - } - slog.Info("seeded SCF controls", "count", len(controls)) - }() - return nil - }, - }) - }), fx.Invoke(func(lc fx.Lifecycle, server api.Server) { lc.Append(fx.Hook{ OnStart: func(ctx context.Context) error { diff --git a/vulndb/compliance/Grundschutz++-catalog.json b/compliance/Grundschutz++-catalog.json similarity index 100% rename from vulndb/compliance/Grundschutz++-catalog.json rename to compliance/Grundschutz++-catalog.json diff --git a/vulndb/compliance/Grundschutz++_License.md b/compliance/Grundschutz++_License.md similarity index 100% rename from vulndb/compliance/Grundschutz++_License.md rename to compliance/Grundschutz++_License.md diff --git a/vulndb/compliance/SCF.json b/compliance/SCF.json similarity index 100% rename from vulndb/compliance/SCF.json rename to compliance/SCF.json diff --git a/vulndb/compliance/SCF_License.md b/compliance/SCF_License.md similarity index 100% rename from vulndb/compliance/SCF_License.md rename to compliance/SCF_License.md diff --git a/compliance/compliance.go b/compliance/compliance.go new file mode 100644 index 000000000..b41c651ac --- /dev/null +++ b/compliance/compliance.go @@ -0,0 +1,36 @@ +package compliance + +import ( + "context" + "log/slog" + + "github.com/l3montree-dev/devguard/shared" + "gorm.io/gorm/clause" +) + +func LoadControlsIntoDB(db shared.DB) error { + controls, err := loadGrundschutzControls() + if err != nil { + return err + } + if err := db.WithContext(context.Background()).Clauses(clause.OnConflict{ + Columns: []clause.Column{{Name: "framework"}, {Name: "control_id"}}, + UpdateAll: true, + }).CreateInBatches(&controls, 100).Error; err != nil { + return err + } + slog.Info("seeded Grundschutz++ controls", "count", len(controls)) + + controls, err = loadSCFControls() + if err != nil { + return err + } + if err := db.WithContext(context.Background()).Clauses(clause.OnConflict{ + Columns: []clause.Column{{Name: "framework"}, {Name: "control_id"}}, + UpdateAll: true, + }).CreateInBatches(&controls, 100).Error; err != nil { + return err + } + slog.Info("seeded SCF controls", "count", len(controls)) + return nil +} diff --git a/vulndb/compliance/grundschutz_service.go b/compliance/grundschutz_service.go similarity index 96% rename from vulndb/compliance/grundschutz_service.go rename to compliance/grundschutz_service.go index 3cdd588b5..67607de5e 100644 --- a/vulndb/compliance/grundschutz_service.go +++ b/compliance/grundschutz_service.go @@ -1,4 +1,4 @@ -package vulndb +package compliance import ( "bytes" @@ -58,12 +58,11 @@ func grundschutzAdditionalMapper(groupTitle *string, controlProps *[]oscalTypes. return additional } -func LoadGrundschutzControls() ([]models.FrameworkControl, error) { +func loadGrundschutzControls() ([]models.FrameworkControl, error) { catalog, err := ParseOSCALCatalog(bytes.NewReader(grundschutzCatalogJSON)) if err != nil { return nil, err } - fmt.Println("Loaded Grundschutz++ catalog") return ExtractControlsFromCatalog(catalog, "Grundschutz++", grundschutzAdditionalMapper), nil } diff --git a/vulndb/compliance/oscal_insert.go b/compliance/oscal_insert.go similarity index 99% rename from vulndb/compliance/oscal_insert.go rename to compliance/oscal_insert.go index 6ebdb285a..623111f98 100644 --- a/vulndb/compliance/oscal_insert.go +++ b/compliance/oscal_insert.go @@ -13,7 +13,7 @@ // You should have received a copy of the GNU Affero General Public License // along with this program. If not, see . -package vulndb +package compliance import ( "regexp" diff --git a/vulndb/compliance/oscal_insert_test.go b/compliance/oscal_insert_test.go similarity index 99% rename from vulndb/compliance/oscal_insert_test.go rename to compliance/oscal_insert_test.go index 5f1465102..16a9259ce 100644 --- a/vulndb/compliance/oscal_insert_test.go +++ b/compliance/oscal_insert_test.go @@ -13,7 +13,7 @@ // You should have received a copy of the GNU Affero General Public License // along with this program. If not, see . -package vulndb +package compliance import ( "testing" diff --git a/vulndb/compliance/oscal_service.go b/compliance/oscal_service.go similarity index 99% rename from vulndb/compliance/oscal_service.go rename to compliance/oscal_service.go index d48e7f507..3f1d6a2f8 100644 --- a/vulndb/compliance/oscal_service.go +++ b/compliance/oscal_service.go @@ -13,7 +13,7 @@ // You should have received a copy of the GNU Affero General Public License // along with this program. If not, see . -package vulndb +package compliance import ( "encoding/json" diff --git a/vulndb/compliance/scf_service.go b/compliance/scf_service.go similarity index 95% rename from vulndb/compliance/scf_service.go rename to compliance/scf_service.go index 135bd43a6..99e6d80d7 100644 --- a/vulndb/compliance/scf_service.go +++ b/compliance/scf_service.go @@ -11,7 +11,7 @@ // // You should have received a copy of the GNU Affero General Public License // along with this program. If not, see . -package vulndb +package compliance import ( "bytes" @@ -24,7 +24,7 @@ import ( //go:embed SCF.json var scfCatalogJSON []byte -func LoadSCFControls() ([]models.FrameworkControl, error) { +func loadSCFControls() ([]models.FrameworkControl, error) { catalog, err := ParseOSCALCatalog(bytes.NewReader(scfCatalogJSON)) if err != nil { return nil, err diff --git a/controllers/compliance_posture_controller.go b/controllers/compliance_posture_controller.go index 4dd5b739f..6dc753359 100644 --- a/controllers/compliance_posture_controller.go +++ b/controllers/compliance_posture_controller.go @@ -18,11 +18,12 @@ import ( "encoding/json" "github.com/google/uuid" + "github.com/l3montree-dev/devguard/compliance" "github.com/l3montree-dev/devguard/database/models" "github.com/l3montree-dev/devguard/dtos" "github.com/l3montree-dev/devguard/shared" "github.com/l3montree-dev/devguard/transformer" - vulndb "github.com/l3montree-dev/devguard/vulndb/compliance" + "github.com/labstack/echo/v4" ) @@ -266,7 +267,7 @@ func (c *CompliancePostureController) GetOSCAL(ctx shared.Context) error { return err } - if err := vulndb.ValidateOSCAL(oscal); err != nil { + if err := compliance.ValidateOSCAL(oscal); err != nil { return echo.NewHTTPError(500, "OSCAL validation failed").WithInternal(err) } diff --git a/database/migrations/20260707000000_create_mapped_controls.up.sql b/database/migrations/20260707000000_create_mapped_controls.up.sql deleted file mode 100644 index b7f96253f..000000000 --- a/database/migrations/20260707000000_create_mapped_controls.up.sql +++ /dev/null @@ -1,11 +0,0 @@ -CREATE TABLE IF NOT EXISTS public.mapped_controls ( - framework_control_id text NOT NULL, - related_framework text NOT NULL, - related_control_id text NOT NULL -); - -ALTER TABLE ONLY public.mapped_controls - ADD CONSTRAINT mapped_controls_pkey PRIMARY KEY (framework_control_id, related_framework, related_control_id); - -ALTER TABLE ONLY public.mapped_controls - ADD CONSTRAINT fk_mapped_controls_framework_control FOREIGN KEY (framework_control_id) REFERENCES public.frameworks_controls(framework_control_id) ON DELETE CASCADE; diff --git a/database/migrations/20260625000000_add_compliance_frameworks.up.sql b/database/migrations/20260713120001_add_compliance_frameworks.up.sql similarity index 82% rename from database/migrations/20260625000000_add_compliance_frameworks.up.sql rename to database/migrations/20260713120001_add_compliance_frameworks.up.sql index 46b68b19f..4475f07b5 100644 --- a/database/migrations/20260625000000_add_compliance_frameworks.up.sql +++ b/database/migrations/20260713120001_add_compliance_frameworks.up.sql @@ -1,5 +1,5 @@ CREATE TABLE IF NOT EXISTS public.frameworks_controls ( - framework_control_id text NOT NULL, + framework_control_id text PRIMARY KEY NOT NULL, framework text NOT NULL DEFAULT '', control_id text NOT NULL DEFAULT '', @@ -17,9 +17,7 @@ CREATE TABLE IF NOT EXISTS public.frameworks_controls ( deleted_at timestamp with time zone ); -ALTER TABLE ONLY public.frameworks_controls - ADD CONSTRAINT frameworks_controls_pkey PRIMARY KEY (framework_control_id); - +ALTER TABLE public.frameworks_controls DROP CONSTRAINT IF EXISTS frameworks_controls_framework_control_id_unique; -- Ensure framework + control_id are unique ALTER TABLE public.frameworks_controls ADD CONSTRAINT frameworks_controls_framework_control_id_unique UNIQUE (framework, control_id); diff --git a/database/migrations/20260625000001_create_compliance_postures.up.sql b/database/migrations/20260713120002_create_compliance_postures.up.sql similarity index 81% rename from database/migrations/20260625000001_create_compliance_postures.up.sql rename to database/migrations/20260713120002_create_compliance_postures.up.sql index 1aa1228d8..9187519e5 100644 --- a/database/migrations/20260625000001_create_compliance_postures.up.sql +++ b/database/migrations/20260713120002_create_compliance_postures.up.sql @@ -1,5 +1,5 @@ CREATE TABLE IF NOT EXISTS public.compliance_postures ( - id uuid NOT NULL, + id uuid PRIMARY KEY NOT NULL, message text, state text DEFAULT 'open'::text NOT NULL, last_detected timestamp with time zone DEFAULT now() NOT NULL, @@ -16,18 +16,23 @@ CREATE TABLE IF NOT EXISTS public.compliance_postures ( framework_control_id text NOT NULL ); -ALTER TABLE ONLY public.compliance_postures - ADD CONSTRAINT compliance_postures_pkey PRIMARY KEY (id); +ALTER TABLE public.compliance_postures DROP CONSTRAINT IF EXISTS fk_compliance_postures_control; ALTER TABLE ONLY public.compliance_postures ADD CONSTRAINT fk_compliance_postures_control FOREIGN KEY (framework_control_id) REFERENCES public.frameworks_controls(framework_control_id) ON DELETE CASCADE; +ALTER TABLE public.compliance_postures DROP CONSTRAINT IF EXISTS fk_compliance_postures_asset; + ALTER TABLE ONLY public.compliance_postures ADD CONSTRAINT fk_compliance_postures_asset FOREIGN KEY (asset_id) REFERENCES public.assets(id) ON DELETE CASCADE; +ALTER TABLE public.compliance_postures DROP CONSTRAINT IF EXISTS fk_compliance_postures_project; + ALTER TABLE ONLY public.compliance_postures ADD CONSTRAINT fk_compliance_postures_project FOREIGN KEY (project_id) REFERENCES public.projects(id) ON DELETE CASCADE; +ALTER TABLE public.compliance_postures DROP CONSTRAINT IF EXISTS fk_compliance_postures_org; + ALTER TABLE ONLY public.compliance_postures ADD CONSTRAINT fk_compliance_postures_org FOREIGN KEY (org_id) REFERENCES public.organizations(id) ON DELETE CASCADE; diff --git a/database/migrations/20260713120003_create_mapped_controls.up.sql b/database/migrations/20260713120003_create_mapped_controls.up.sql new file mode 100644 index 000000000..c01a49a64 --- /dev/null +++ b/database/migrations/20260713120003_create_mapped_controls.up.sql @@ -0,0 +1,10 @@ +CREATE TABLE IF NOT EXISTS public.mapped_controls ( + framework_control_id text PRIMARY KEY NOT NULL, + related_framework text PRIMARY KEY NOT NULL, + related_control_id text PRIMARY KEY NOT NULL +); + +ALTER TABLE public.mapped_controls DROP CONSTRAINT IF EXISTS fk_mapped_controls_framework_control; + +ALTER TABLE ONLY public.mapped_controls + ADD CONSTRAINT fk_mapped_controls_framework_control FOREIGN KEY (framework_control_id) REFERENCES public.frameworks_controls(framework_control_id) ON DELETE CASCADE; From 3f0261886e3f4d33f482a2b68121bcfab4f38686 Mon Sep 17 00:00:00 2001 From: Tim Bastin Date: Wed, 15 Jul 2026 13:35:34 +0200 Subject: [PATCH 09/16] fixes bola issue, fixes sast findings --- database/repositories/compliance_posture_repository.go | 6 +++++- 1 file changed, 5 insertions(+), 1 deletion(-) diff --git a/database/repositories/compliance_posture_repository.go b/database/repositories/compliance_posture_repository.go index dc855af48..4ce7ba34c 100644 --- a/database/repositories/compliance_posture_repository.go +++ b/database/repositories/compliance_posture_repository.go @@ -46,6 +46,7 @@ type frameworkControlPostureRow struct { Events []models.VulnEvent `gorm:"foreignKey:CompliancePostureID;references:CompliancePostureID"` } +// nosemgrep: repo-method-missing-ctx, repo-method-missing-ctx-empty-params func (row frameworkControlPostureRow) compliancePostureIDString() string { if row.CompliancePostureID == nil { return "" @@ -53,6 +54,7 @@ func (row frameworkControlPostureRow) compliancePostureIDString() string { return row.CompliancePostureID.String() } +// nosemgrep: repo-method-missing-ctx, repo-method-missing-ctx-empty-params func (row frameworkControlPostureRow) toDTO() dtos.CompliancePostureWithControlDTO { mappedControls := make([]dtos.MappedControlDTO, len(row.MappedControls)) for i, mc := range row.MappedControls { @@ -83,6 +85,7 @@ func (row frameworkControlPostureRow) toDTO() dtos.CompliancePostureWithControlD } } +// nosemgrep: repo-method-missing-ctx, repo-method-missing-ctx-empty-params func (row frameworkControlPostureRow) toDetailsDTO() dtos.CompliancePostureWithDetailsDTO { dto := dtos.CompliancePostureWithDetailsDTO{ CompliancePostureWithControlDTO: row.toDTO(), @@ -102,7 +105,8 @@ func NewCompliancePostureRepository(db *gorm.DB) *CompliancePostureRepository { func (r *CompliancePostureRepository) FindOrCreate(ctx context.Context, tx *gorm.DB, posture models.CompliancePosture) (*models.CompliancePosture, error) { var existingPosture models.CompliancePosture - if err := r.GetDB(ctx, tx).Preload("FrameworkControl").Where("id = ?", posture.ID).First(&existingPosture).Error; err != nil { + db := withOwnershipScope(ctx, r.GetDB(ctx, tx).Where("id = ?", posture.ID), existingPosture) + if err := db.Preload("FrameworkControl").First(&existingPosture).Error; err != nil { if !errors.Is(err, gorm.ErrRecordNotFound) { return nil, fmt.Errorf("failed to query compliance posture: %w", err) } From 8ccab65a433c0d64d6a4338e89e21e39267b20bb Mon Sep 17 00:00:00 2001 From: Tim Bastin Date: Wed, 15 Jul 2026 13:48:51 +0200 Subject: [PATCH 10/16] keeping some internals private in compliance package --- .vscode/settings.json | 1 + compliance/grundschutz_service.go | 4 +-- compliance/oscal_insert.go | 22 ++++++++-------- compliance/oscal_insert_test.go | 44 +++++++++++++++---------------- compliance/oscal_service.go | 14 +++++----- compliance/scf_service.go | 4 +-- 6 files changed, 45 insertions(+), 44 deletions(-) diff --git a/.vscode/settings.json b/.vscode/settings.json index 10003842e..4ed320913 100644 --- a/.vscode/settings.json +++ b/.vscode/settings.json @@ -11,6 +11,7 @@ "epss", "ghinstallation", "gorm", + "Grundschutz", "Kyverno", "libc", "montree", diff --git a/compliance/grundschutz_service.go b/compliance/grundschutz_service.go index 67607de5e..0df2c7ac3 100644 --- a/compliance/grundschutz_service.go +++ b/compliance/grundschutz_service.go @@ -59,11 +59,11 @@ func grundschutzAdditionalMapper(groupTitle *string, controlProps *[]oscalTypes. } func loadGrundschutzControls() ([]models.FrameworkControl, error) { - catalog, err := ParseOSCALCatalog(bytes.NewReader(grundschutzCatalogJSON)) + catalog, err := parseOSCALCatalog(bytes.NewReader(grundschutzCatalogJSON)) if err != nil { return nil, err } - return ExtractControlsFromCatalog(catalog, "Grundschutz++", grundschutzAdditionalMapper), nil + return extractControlsFromCatalog(catalog, "Grundschutz++", grundschutzAdditionalMapper), nil } type newProperty struct { diff --git a/compliance/oscal_insert.go b/compliance/oscal_insert.go index 623111f98..085f20e10 100644 --- a/compliance/oscal_insert.go +++ b/compliance/oscal_insert.go @@ -26,16 +26,16 @@ import ( // The first group is the insert type (param, title, prop, link, ...), the second is the id-ref var insertPattern = regexp.MustCompile(`\{\{\s*insert:\s*([a-zA-Z][a-zA-Z0-9_-]*)\s*,\s*([^}]+?)\s*\}\}`) -type InsertResolverFunc func(idRef string, ctx *ResolveContext) (string, bool) +type insertResolverFunc func(idRef string, ctx *resolveContext) (string, bool) -type ResolveContext struct { +type resolveContext struct { Params map[string]oscalTypes.Parameter Controls map[string]oscalTypes.Control Groups map[string]oscalTypes.Group } -func NewResolveContext(catalog *oscalTypes.Catalog) *ResolveContext { - ctx := &ResolveContext{ +func newResolveContext(catalog *oscalTypes.Catalog) *resolveContext { + ctx := &resolveContext{ Params: map[string]oscalTypes.Parameter{}, Controls: map[string]oscalTypes.Control{}, Groups: map[string]oscalTypes.Group{}, @@ -54,7 +54,7 @@ func NewResolveContext(catalog *oscalTypes.Catalog) *ResolveContext { return ctx } -func indexGroup(ctx *ResolveContext, g oscalTypes.Group) { +func indexGroup(ctx *resolveContext, g oscalTypes.Group) { if g.ID != "" { ctx.Groups[g.ID] = g } @@ -67,7 +67,7 @@ func indexGroup(ctx *ResolveContext, g oscalTypes.Group) { } } -func indexControl(ctx *ResolveContext, c oscalTypes.Control) { +func indexControl(ctx *resolveContext, c oscalTypes.Control) { if c.ID != "" { ctx.Controls[c.ID] = c } @@ -77,7 +77,7 @@ func indexControl(ctx *ResolveContext, c oscalTypes.Control) { } } -func indexParams(ctx *ResolveContext, params *[]oscalTypes.Parameter) { +func indexParams(ctx *resolveContext, params *[]oscalTypes.Parameter) { if params == nil { return } @@ -86,15 +86,15 @@ func indexParams(ctx *ResolveContext, params *[]oscalTypes.Parameter) { } } -var insertResolvers = map[string]InsertResolverFunc{ +var insertResolvers = map[string]insertResolverFunc{ "param": resolveParamInsert, } -func RegisterInsertResolver(insertType string, resolver InsertResolverFunc) { +func registerInsertResolver(insertType string, resolver insertResolverFunc) { insertResolvers[insertType] = resolver } -func resolveParamInsert(idRef string, ctx *ResolveContext) (string, bool) { +func resolveParamInsert(idRef string, ctx *resolveContext) (string, bool) { param, ok := ctx.Params[idRef] if !ok { return "", false @@ -112,7 +112,7 @@ func resolveParamInsert(idRef string, ctx *ResolveContext) (string, bool) { } } -func ResolveInserts(prose string, ctx *ResolveContext) string { +func resolveInserts(prose string, ctx *resolveContext) string { if ctx == nil || !strings.Contains(prose, "insert:") { return prose } diff --git a/compliance/oscal_insert_test.go b/compliance/oscal_insert_test.go index 16a9259ce..90576480c 100644 --- a/compliance/oscal_insert_test.go +++ b/compliance/oscal_insert_test.go @@ -36,76 +36,76 @@ func paramWithLabel(id, label string) oscalTypes.Parameter { func TestResolveInserts_Param(t *testing.T) { t.Run("resolves from Values", func(t *testing.T) { - ctx := &ResolveContext{Params: map[string]oscalTypes.Parameter{ + ctx := &resolveContext{Params: map[string]oscalTypes.Parameter{ "arch.2.2-prm1": paramWithValues("arch.2.2-prm1", "Gerätetyp"), }} - got := ResolveInserts("Einschränken anhand von {{ insert: param, arch.2.2-prm1 }}.", ctx) + got := resolveInserts("Einschränken anhand von {{ insert: param, arch.2.2-prm1 }}.", ctx) assert.Equal(t, "Einschränken anhand von Gerätetyp.", got) }) t.Run("joins multiple Values", func(t *testing.T) { - ctx := &ResolveContext{Params: map[string]oscalTypes.Parameter{ + ctx := &resolveContext{Params: map[string]oscalTypes.Parameter{ "p1": paramWithValues("p1", "Gerätetyp", "Benutzerrolle"), }} - got := ResolveInserts("{{ insert: param, p1 }}", ctx) + got := resolveInserts("{{ insert: param, p1 }}", ctx) assert.Equal(t, "Gerätetyp, Benutzerrolle", got) }) t.Run("falls back to Select.Choice when no Values", func(t *testing.T) { - ctx := &ResolveContext{Params: map[string]oscalTypes.Parameter{ + ctx := &resolveContext{Params: map[string]oscalTypes.Parameter{ "p1": paramWithSelect("p1", "jährlich", "quartalsweise"), }} - got := ResolveInserts("{{ insert: param, p1 }}", ctx) + got := resolveInserts("{{ insert: param, p1 }}", ctx) assert.Equal(t, "jährlich, quartalsweise", got) }) t.Run("falls back to Label when no Values or Select", func(t *testing.T) { - ctx := &ResolveContext{Params: map[string]oscalTypes.Parameter{ + ctx := &resolveContext{Params: map[string]oscalTypes.Parameter{ "p1": paramWithLabel("p1", "Kriterien"), }} - got := ResolveInserts("{{ insert: param, p1 }}", ctx) + got := resolveInserts("{{ insert: param, p1 }}", ctx) assert.Equal(t, "Kriterien", got) }) t.Run("leaves span untouched when param is unknown", func(t *testing.T) { - ctx := &ResolveContext{Params: map[string]oscalTypes.Parameter{}} + ctx := &resolveContext{Params: map[string]oscalTypes.Parameter{}} prose := "Text mit {{ insert: param, does-not-exist }} Platzhalter." - got := ResolveInserts(prose, ctx) + got := resolveInserts(prose, ctx) assert.Equal(t, prose, got) }) t.Run("resolves multiple distinct inserts in the same prose", func(t *testing.T) { - ctx := &ResolveContext{Params: map[string]oscalTypes.Parameter{ + ctx := &resolveContext{Params: map[string]oscalTypes.Parameter{ "p1": paramWithLabel("p1", "A"), "p2": paramWithLabel("p2", "B"), }} - got := ResolveInserts("{{ insert: param, p1 }} und {{ insert: param, p2 }}", ctx) + got := resolveInserts("{{ insert: param, p1 }} und {{ insert: param, p2 }}", ctx) assert.Equal(t, "A und B", got) }) t.Run("returns prose unchanged when there is no insert markup", func(t *testing.T) { - ctx := &ResolveContext{Params: map[string]oscalTypes.Parameter{}} + ctx := &resolveContext{Params: map[string]oscalTypes.Parameter{}} prose := "Ganz normaler Text ohne Platzhalter." - got := ResolveInserts(prose, ctx) + got := resolveInserts(prose, ctx) assert.Equal(t, prose, got) }) t.Run("nil context returns prose unchanged", func(t *testing.T) { prose := "{{ insert: param, p1 }}" - got := ResolveInserts(prose, nil) + got := resolveInserts(prose, nil) assert.Equal(t, prose, got) }) } func TestResolveInserts_UnknownType(t *testing.T) { - ctx := &ResolveContext{Params: map[string]oscalTypes.Parameter{}} + ctx := &resolveContext{Params: map[string]oscalTypes.Parameter{}} prose := "Siehe {{ insert: title, some-control-id }} für Details." - got := ResolveInserts(prose, ctx) + got := resolveInserts(prose, ctx) assert.Equal(t, prose, got, "unregistered insert types should be left untouched") } func TestRegisterInsertResolver(t *testing.T) { - RegisterInsertResolver("title", func(idRef string, ctx *ResolveContext) (string, bool) { + registerInsertResolver("title", func(idRef string, ctx *resolveContext) (string, bool) { c, ok := ctx.Controls[idRef] if !ok { return "", false @@ -114,10 +114,10 @@ func TestRegisterInsertResolver(t *testing.T) { }) t.Cleanup(func() { delete(insertResolvers, "title") }) - ctx := &ResolveContext{Controls: map[string]oscalTypes.Control{ + ctx := &resolveContext{Controls: map[string]oscalTypes.Control{ "ARCH.2.2.1": {ID: "ARCH.2.2.1", Title: "Externe Netzanschlüsse"}, }} - got := ResolveInserts("Siehe {{ insert: title, ARCH.2.2.1 }}.", ctx) + got := resolveInserts("Siehe {{ insert: title, ARCH.2.2.1 }}.", ctx) assert.Equal(t, "Siehe Externe Netzanschlüsse.", got) } @@ -149,7 +149,7 @@ func TestNewResolveContext(t *testing.T) { }, } - ctx := NewResolveContext(catalog) + ctx := newResolveContext(catalog) assert.Contains(t, ctx.Params, "top-prm") assert.Contains(t, ctx.Params, "grp-prm") @@ -164,7 +164,7 @@ func TestNewResolveContext(t *testing.T) { } func TestNewResolveContext_NilCatalog(t *testing.T) { - ctx := NewResolveContext(nil) + ctx := newResolveContext(nil) assert.NotNil(t, ctx) assert.Empty(t, ctx.Params) assert.Empty(t, ctx.Controls) diff --git a/compliance/oscal_service.go b/compliance/oscal_service.go index 3f1d6a2f8..769c2c528 100644 --- a/compliance/oscal_service.go +++ b/compliance/oscal_service.go @@ -27,14 +27,14 @@ import ( "gorm.io/datatypes" ) -type AdditionalMapper func(groupTitle *string, controlProps *[]oscalTypes.Property, parts []oscalTypes.Part) map[string]any +type additionalMapper func(groupTitle *string, controlProps *[]oscalTypes.Property, parts []oscalTypes.Part) map[string]any func mustMarshalJSON(v any) datatypes.JSON { b, _ := json.Marshal(v) return datatypes.JSON(b) } -func ParseOSCALCatalog(r io.Reader) (*oscalTypes.Catalog, error) { +func parseOSCALCatalog(r io.Reader) (*oscalTypes.Catalog, error) { data, err := io.ReadAll(r) if err != nil { return nil, fmt.Errorf("reading catalog: %w", err) @@ -52,8 +52,8 @@ func ParseOSCALCatalog(r io.Reader) (*oscalTypes.Catalog, error) { return schema.Catalog, nil } -func ExtractControlsFromCatalog(catalog *oscalTypes.Catalog, frameworkName string, mapper AdditionalMapper) []models.FrameworkControl { - ctx := NewResolveContext(catalog) +func extractControlsFromCatalog(catalog *oscalTypes.Catalog, frameworkName string, mapper additionalMapper) []models.FrameworkControl { + ctx := newResolveContext(catalog) var controls []models.FrameworkControl for _, g := range derefGroups(catalog.Groups) { @@ -101,7 +101,7 @@ func extractMappedControls(frameworkControlID string, c oscalTypes.Control) ([]m return mappedControls, nil } -func extractFromGroup(parentGroupTitle *string, g oscalTypes.Group, frameworkName string, mapper AdditionalMapper, ctx *ResolveContext) []models.FrameworkControl { +func extractFromGroup(parentGroupTitle *string, g oscalTypes.Group, frameworkName string, mapper additionalMapper, ctx *resolveContext) []models.FrameworkControl { groupTitle := &g.Title if parentGroupTitle != nil { combined := fmt.Sprintf("%s / %s", *parentGroupTitle, *groupTitle) @@ -118,7 +118,7 @@ func extractFromGroup(parentGroupTitle *string, g oscalTypes.Group, frameworkNam return controls } -func controlToFrameworkControl(c oscalTypes.Control, parentControlID *string, groupTitle *string, frameworkName string, mapper AdditionalMapper, ctx *ResolveContext) []models.FrameworkControl { +func controlToFrameworkControl(c oscalTypes.Control, parentControlID *string, groupTitle *string, frameworkName string, mapper additionalMapper, ctx *resolveContext) []models.FrameworkControl { parts := derefParts(c.Parts) // Find the statement part for the description; fall back to any part with prose. @@ -137,7 +137,7 @@ func controlToFrameworkControl(c oscalTypes.Control, parentControlID *string, gr } } } - description = ResolveInserts(description, ctx) + description = resolveInserts(description, ctx) var result []models.FrameworkControl diff --git a/compliance/scf_service.go b/compliance/scf_service.go index 99e6d80d7..cf32f9b98 100644 --- a/compliance/scf_service.go +++ b/compliance/scf_service.go @@ -25,11 +25,11 @@ import ( var scfCatalogJSON []byte func loadSCFControls() ([]models.FrameworkControl, error) { - catalog, err := ParseOSCALCatalog(bytes.NewReader(scfCatalogJSON)) + catalog, err := parseOSCALCatalog(bytes.NewReader(scfCatalogJSON)) if err != nil { return nil, err } - return ExtractControlsFromCatalog(catalog, "SCF", scfAdditionalMapper), nil + return extractControlsFromCatalog(catalog, "SCF", scfAdditionalMapper), nil } func scfAdditionalMapper(groupTitle *string, controlProps *[]oscalTypes.Property, parts []oscalTypes.Part) map[string]any { From 944ec4ebb912de18640f89db58a2e422cab83166 Mon Sep 17 00:00:00 2001 From: Tim Bastin Date: Wed, 15 Jul 2026 14:03:53 +0200 Subject: [PATCH 11/16] reduces code duplication in compliance_posture_controller --- controllers/compliance_posture_controller.go | 100 ++++++------------- 1 file changed, 30 insertions(+), 70 deletions(-) diff --git a/controllers/compliance_posture_controller.go b/controllers/compliance_posture_controller.go index 6dc753359..c016976be 100644 --- a/controllers/compliance_posture_controller.go +++ b/controllers/compliance_posture_controller.go @@ -28,16 +28,16 @@ import ( ) type CompliancePostureController struct { - CompliancePostureRepository shared.CompliancePostureRepository - CompliancePostureService shared.CompliancePostureService - FrameworkControlRepository shared.FrameworkControlRepository + compliancePostureRepository shared.CompliancePostureRepository + compliancePostureService shared.CompliancePostureService + frameworkControlRepository shared.FrameworkControlRepository } func NewCompliancePostureController(compliancePostureRepository shared.CompliancePostureRepository, compliancePostureService shared.CompliancePostureService, frameworkControlRepository shared.FrameworkControlRepository) *CompliancePostureController { return &CompliancePostureController{ - CompliancePostureRepository: compliancePostureRepository, - CompliancePostureService: compliancePostureService, - FrameworkControlRepository: frameworkControlRepository, + compliancePostureRepository: compliancePostureRepository, + compliancePostureService: compliancePostureService, + frameworkControlRepository: frameworkControlRepository, } } @@ -47,24 +47,10 @@ func (c *CompliancePostureController) Read(ctx shared.Context) error { return echo.NewHTTPError(400, "frameworkControlID is required") } - var assetVersionName *string - var assetID *uuid.UUID - var projectID *uuid.UUID orgID := shared.GetOrg(ctx).ID - project, err := shared.MaybeGetProject(ctx) - if err == nil { - projectID = &project.ID - asset, err := shared.MaybeGetAsset(ctx) - if err == nil { - assetID = &asset.ID - assetVersion, err := shared.MaybeGetAssetVersion(ctx) - if err == nil { - assetVersionName = &assetVersion.Name - } - } - } + projectID, assetID, assetVersionName := getOwnershipFromCtx(ctx) - posture, err := c.CompliancePostureService.GetForControl(ctx.Request().Context(), nil, frameworkControlID, assetVersionName, assetID, projectID, orgID) + posture, err := c.compliancePostureService.GetForControl(ctx.Request().Context(), nil, frameworkControlID, assetVersionName, assetID, projectID, orgID) if err != nil { return err } @@ -73,34 +59,20 @@ func (c *CompliancePostureController) Read(ctx shared.Context) error { } func (c *CompliancePostureController) ListPaged(ctx shared.Context) error { - var assetVersionName *string - var assetID *uuid.UUID - var projectID *uuid.UUID orgID := shared.GetOrg(ctx).ID - project, err := shared.MaybeGetProject(ctx) - if err == nil { - projectID = &project.ID - asset, err := shared.MaybeGetAsset(ctx) - if err == nil { - assetID = &asset.ID - assetVersion, err := shared.MaybeGetAssetVersion(ctx) - if err == nil { - assetVersionName = &assetVersion.Name - } - } - } + projectID, assetID, assetVersionName := getOwnershipFromCtx(ctx) pageInfo := shared.GetPageInfo(ctx) search := ctx.QueryParam("search") filter := shared.GetFilterQuery(ctx) sort := shared.GetSortQuery(ctx) - postures, err := c.CompliancePostureService.GetForAllControlsPaged(ctx.Request().Context(), nil, assetVersionName, assetID, projectID, orgID, pageInfo, search, filter, sort) + postures, err := c.compliancePostureService.GetForAllControlsPaged(ctx.Request().Context(), nil, assetVersionName, assetID, projectID, orgID, pageInfo, search, filter, sort) if err != nil { return err } - frameworks, err := c.FrameworkControlRepository.ListFrameworkControls(ctx.Request().Context(), nil) + frameworks, err := c.frameworkControlRepository.ListFrameworkControls(ctx.Request().Context(), nil) if err != nil { return err } @@ -115,10 +87,18 @@ func (c *CompliancePostureController) ListPaged(ctx shared.Context) error { } func (c *CompliancePostureController) Stats(ctx shared.Context) error { - var assetVersionName *string - var assetID *uuid.UUID - var projectID *uuid.UUID orgID := shared.GetOrg(ctx).ID + filter := shared.GetFilterQuery(ctx) + projectID, assetID, assetVersionName := getOwnershipFromCtx(ctx) + stats, err := c.compliancePostureService.GetStatsForAllControls(ctx.Request().Context(), nil, assetVersionName, assetID, projectID, orgID, filter) + if err != nil { + return err + } + + return ctx.JSON(200, stats) +} + +func getOwnershipFromCtx(ctx shared.Context) (projectID *uuid.UUID, assetID *uuid.UUID, assetVersionName *string) { project, err := shared.MaybeGetProject(ctx) if err == nil { projectID = &project.ID @@ -131,15 +111,7 @@ func (c *CompliancePostureController) Stats(ctx shared.Context) error { } } } - - filter := shared.GetFilterQuery(ctx) - - stats, err := c.CompliancePostureService.GetStatsForAllControls(ctx.Request().Context(), nil, assetVersionName, assetID, projectID, orgID, filter) - if err != nil { - return err - } - - return ctx.JSON(200, stats) + return projectID, assetID, assetVersionName } func (c *CompliancePostureController) CreateEvent(ctx shared.Context) error { @@ -153,21 +125,9 @@ func (c *CompliancePostureController) CreateEvent(ctx shared.Context) error { userAgent := ctx.Request().UserAgent() orgID := shared.GetOrg(ctx).ID - var projectID *uuid.UUID - var assetID *uuid.UUID - var assetVersionName *string - project, err := shared.MaybeGetProject(ctx) - if err == nil { - projectID = &project.ID - asset, err := shared.MaybeGetAsset(ctx) - if err == nil { - assetID = &asset.ID - assetVersion, err := shared.MaybeGetAssetVersion(ctx) - if err == nil { - assetVersionName = &assetVersion.Name - } - } - } + + projectID, assetID, assetVersionName := getOwnershipFromCtx(ctx) + var err error var state struct { Status string `json:"status"` @@ -195,7 +155,7 @@ func (c *CompliancePostureController) CreateEvent(ctx shared.Context) error { compliancePosture.ID = compliancePosture.CalculateHash() - compliancePostureNew, err := c.CompliancePostureRepository.FindOrCreate(ctx.Request().Context(), nil, compliancePosture) + compliancePostureNew, err := c.compliancePostureRepository.FindOrCreate(ctx.Request().Context(), nil, compliancePosture) if err != nil { return echo.NewHTTPError(500, "failed to find or create compliance posture").WithInternal(err) } @@ -204,7 +164,7 @@ func (c *CompliancePostureController) CreateEvent(ctx shared.Context) error { if state.Justification != nil { justification = *state.Justification } - _, err = c.CompliancePostureService.UpdateCompliancePostureState(ctx.Request().Context(), nil, userID, compliancePostureNew, statusType, justification, "", &userAgent) + _, err = c.compliancePostureService.UpdateCompliancePostureState(ctx.Request().Context(), nil, userID, compliancePostureNew, statusType, justification, "", &userAgent) if err != nil { return err } @@ -243,7 +203,7 @@ func (c *CompliancePostureController) GetOSCAL(ctx shared.Context) error { } - compliancePostures, err := c.CompliancePostureService.GetAllControls(ctx.Request().Context(), nil, assetVersionName, assetID, projectID, orgID, "", filter, nil) + compliancePostures, err := c.compliancePostureService.GetAllControls(ctx.Request().Context(), nil, assetVersionName, assetID, projectID, orgID, "", filter, nil) if err != nil { return err } @@ -257,7 +217,7 @@ func (c *CompliancePostureController) GetOSCAL(ctx shared.Context) error { compliancePostures[i].CompliancePostureID = models.CalculateCompliancePostureHash(compliancePostures[i].FrameworkControlID, postureOrgID, compliancePostures[i].ProjectID, compliancePostures[i].AssetID, compliancePostures[i].AssetVersionName).String() } - frameworkControls, err := c.FrameworkControlRepository.GetAll(ctx.Request().Context(), nil, framework) + frameworkControls, err := c.frameworkControlRepository.GetAll(ctx.Request().Context(), nil, framework) if err != nil { return err } From 12e025a7ef1bcb032761779d4a722310ed4a3b45 Mon Sep 17 00:00:00 2001 From: Tim Bastin Date: Wed, 15 Jul 2026 14:16:55 +0200 Subject: [PATCH 12/16] fixes typo --- database/models/framework_control_model.go | 4 +--- services/compliance_posture_service.go | 8 ++++---- 2 files changed, 5 insertions(+), 7 deletions(-) diff --git a/database/models/framework_control_model.go b/database/models/framework_control_model.go index ef89801dd..0f487dc7c 100644 --- a/database/models/framework_control_model.go +++ b/database/models/framework_control_model.go @@ -43,8 +43,6 @@ func (m *FrameworkControl) SetID() { } func (m *FrameworkControl) BeforeSave(tx *gorm.DB) (err error) { - if m.FrameworkControlID == "" { - m.SetID() - } + m.SetID() return nil } diff --git a/services/compliance_posture_service.go b/services/compliance_posture_service.go index eeab86a4f..a49683dcb 100644 --- a/services/compliance_posture_service.go +++ b/services/compliance_posture_service.go @@ -39,15 +39,15 @@ func NewCompliancePostureService(compliancePostureRepository shared.CompliancePo } func (s *compliancePostureService) GetForAllControlsPaged(ctx context.Context, tx *gorm.DB, assetVersionName *string, assetID *uuid.UUID, projectID *uuid.UUID, orgID uuid.UUID, pageInfo shared.PageInfo, search string, filter []shared.FilterQuery, sort []shared.SortQuery) (shared.Paged[dtos.CompliancePostureWithControlDTO], error) { - postgres, err := s.compliancePostureRepository.GetForAllControlsPaged(ctx, tx, assetVersionName, assetID, projectID, orgID, pageInfo, search, filter, sort) + postures, err := s.compliancePostureRepository.GetForAllControlsPaged(ctx, tx, assetVersionName, assetID, projectID, orgID, pageInfo, search, filter, sort) //mapping the state to string for the DTO - for i, posture := range postgres.Data { + for i, posture := range postures.Data { if posture.State == "" { - postgres.Data[i].State = dtos.VulnStateOpen + postures.Data[i].State = dtos.VulnStateOpen } } - return postgres, err + return postures, err } func (s *compliancePostureService) GetAllControls(ctx context.Context, tx *gorm.DB, assetVersionName *string, assetID *uuid.UUID, projectID *uuid.UUID, orgID uuid.UUID, search string, filter []shared.FilterQuery, sort []shared.SortQuery) ([]dtos.CompliancePostureWithDetailsDTO, error) { From fbd0c450d79ca8bf87b7efe9b0306bb67921fbf9 Mon Sep 17 00:00:00 2001 From: Tim Bastin Date: Thu, 16 Jul 2026 11:20:30 +0200 Subject: [PATCH 13/16] nilable asset_id and project_id on compliance posture model --- database/models/compliance_posture_model.go | 6 +++--- 1 file changed, 3 insertions(+), 3 deletions(-) diff --git a/database/models/compliance_posture_model.go b/database/models/compliance_posture_model.go index bdc70685c..b8b0bbd2c 100644 --- a/database/models/compliance_posture_model.go +++ b/database/models/compliance_posture_model.go @@ -32,11 +32,11 @@ type CompliancePosture struct { AssetVersionName *string `json:"assetVersionName" gorm:"type:text;"` AssetVersion AssetVersion `json:"assetVersion" gorm:"foreignKey:AssetVersionName,AssetID;references:Name,AssetID;constraint:OnDelete:CASCADE;"` - AssetID *uuid.UUID `json:"assetId" gorm:"type:uuid;"` + AssetID *uuid.UUID `json:"assetId" gorm:"type:uuid;column:asset_id"` Asset Asset `json:"asset" gorm:"foreignKey:AssetID;references:ID;constraint:OnDelete:CASCADE;"` - ProjectID *uuid.UUID `json:"projectId" gorm:"type:uuid"` + ProjectID *uuid.UUID `json:"projectId" gorm:"type:uuid;column:project_id"` Project Project `json:"project" gorm:"foreignKey:ProjectID;references:ID;constraint:OnDelete:CASCADE;"` - OrgID uuid.UUID `json:"orgId" gorm:"type:uuid;not null;"` + OrgID uuid.UUID `json:"orgId" gorm:"type:uuid;not null;column:org_id"` Org Org `json:"org" gorm:"foreignKey:OrgID;references:ID;constraint:OnDelete:CASCADE;"` Events []VulnEvent `json:"events" gorm:"foreignKey:CompliancePostureID;constraint:OnDelete:CASCADE;"` From e3e7440000edb347730dafba57810be6acdc0a14 Mon Sep 17 00:00:00 2001 From: Tim Bastin Date: Thu, 16 Jul 2026 12:13:47 +0200 Subject: [PATCH 14/16] using single system component, same how trestle is doing it --- transformer/compliance_posture_transformer.go | 30 +++++++++---------- 1 file changed, 15 insertions(+), 15 deletions(-) diff --git a/transformer/compliance_posture_transformer.go b/transformer/compliance_posture_transformer.go index a24b49c9b..bab0d7bcc 100644 --- a/transformer/compliance_posture_transformer.go +++ b/transformer/compliance_posture_transformer.go @@ -127,22 +127,22 @@ func ConvertCompliancePosturesToSystemSecurityPlanOSCAL(compliancePostures []dto }, }, } - systemComponents := []oscalTypes.SystemComponent{} - - for _, frameworkControl := range frameworkControls { - systemComponent := oscalTypes.SystemComponent{ - UUID: handleFrameworkControlID(frameworkControl.FrameworkControlID), - Title: frameworkControl.Title, - Description: frameworkControl.Description, - Status: oscalTypes.SystemComponentStatus{ - State: "operational", - }, - Type: "software", - } - systemComponents = append(systemComponents, systemComponent) + + systemComponent := oscalTypes.SystemComponent{ + UUID: uuid.New().String(), + Title: "DevGuard System Component", + Description: "This component represents the DevGuard system responsible for managing compliance posture data.", + Status: oscalTypes.SystemComponentStatus{ + State: "operational", + }, + Type: "software", + } + components := []oscalTypes.SystemComponent{ + // only a single component for now, - this system, like trestle is doing it + systemComponent, } - systemImplementation.Components = systemComponents + systemImplementation.Components = components systemSecurityPlan.SystemImplementation = systemImplementation controlImplementation := oscalTypes.ControlImplementation{} @@ -165,7 +165,7 @@ func ConvertCompliancePosturesToSystemSecurityPlanOSCAL(compliancePostures []dto } byComponents := []oscalTypes.ByComponent{} byComponent := oscalTypes.ByComponent{ - ComponentUuid: handleFrameworkControlID(compliancePosture.FrameworkControlID), + ComponentUuid: systemComponent.UUID, Description: description, ImplementationStatus: &oscalTypes.ImplementationStatus{ State: state, From 612ba00e0ec53c20fb8dec3ed26fbe6bb690c7ac Mon Sep 17 00:00:00 2001 From: Tim Bastin Date: Thu, 16 Jul 2026 12:50:15 +0200 Subject: [PATCH 15/16] removes unused function --- transformer/compliance_posture_transformer.go | 6 ------ 1 file changed, 6 deletions(-) diff --git a/transformer/compliance_posture_transformer.go b/transformer/compliance_posture_transformer.go index bab0d7bcc..295fc4590 100644 --- a/transformer/compliance_posture_transformer.go +++ b/transformer/compliance_posture_transformer.go @@ -72,12 +72,6 @@ func CompliancePostureToDTO(c models.CompliancePosture) dtos.CompliancePostureWi } } -func handleFrameworkControlID(frameworkControlID string) string { - frameworkControlID = strings.ReplaceAll(frameworkControlID, ":", "-") - - return uuid.NewSHA1(uuid.NameSpaceURL, []byte(frameworkControlID)).String() -} - func ConvertCompliancePosturesToSystemSecurityPlanOSCAL(compliancePostures []dtos.CompliancePostureWithDetailsDTO, frameworkControls []models.FrameworkControl) (oscalTypes.OscalCompleteSchema, error) { //OscalCompleteSchema From 0beec7fe38d7b39bde8563514f9df379a21d53fd Mon Sep 17 00:00:00 2001 From: Tim Bastin Date: Thu, 16 Jul 2026 13:06:24 +0200 Subject: [PATCH 16/16] fixes migration --- .../20260713120003_create_mapped_controls.up.sql | 7 ++++--- 1 file changed, 4 insertions(+), 3 deletions(-) diff --git a/database/migrations/20260713120003_create_mapped_controls.up.sql b/database/migrations/20260713120003_create_mapped_controls.up.sql index c01a49a64..a49935ad7 100644 --- a/database/migrations/20260713120003_create_mapped_controls.up.sql +++ b/database/migrations/20260713120003_create_mapped_controls.up.sql @@ -1,7 +1,8 @@ CREATE TABLE IF NOT EXISTS public.mapped_controls ( - framework_control_id text PRIMARY KEY NOT NULL, - related_framework text PRIMARY KEY NOT NULL, - related_control_id text PRIMARY KEY NOT NULL + framework_control_id text NOT NULL, + related_framework text NOT NULL, + related_control_id text NOT NULL, + PRIMARY KEY (framework_control_id, related_framework, related_control_id) ); ALTER TABLE public.mapped_controls DROP CONSTRAINT IF EXISTS fk_mapped_controls_framework_control;